Há casos em que a finalidade de certas regras ou conceitos parece óbvia, mas o tempo vai mostrando que não são. A Lei Geral de Proteção de Dados (LGPD), por exemplo. Claramente foi criada para proteger os cidadãos das consequências que o vazamento de seus dados pode causar. Por essa razão, não foca apenas no armazenamento das informações e meios para protegê-los. Há também uma grande preocupação com o tratamento desses dados, a política de uso e a forma como são manipulados dentro da empresa.
Resumindo, não se trata apenas de uma questão de modernização tecnológica, da segurança contra a ação de hackers. O sistema de computadores de uma empresa pode ser impenetrável e, mesmo assim, uma informação sensível vazar por conta de erro ou má intenção de algum funcionário que tenha acesso ao banco de dados. Ou seja, a adequação à LGPD exige inovação e melhoria tecnológica, definição de uma política de segurança de informações, treinamento constante dos colaboradores e mecanismos legais e devidamente documentados que comprometam todos dentro da companhia a seguirem à risca o protocolo definido.
Um exemplo de que não se trata de preocupação única e exclusivamente de segurança tecnológica é o caso do vazamento de informações médicas, cometidas por funcionários. Houve um caso muito recente na área da saúde, com informações extremamente sigilosas publicadas e impactos negativos para as partes envolvidas, principalmente aqueles que tiveram informações pessoais e sigilosas divulgadas.
A indisciplina de um colaborador pode causar grandes estragos na vida das vítimas, na imagem da companhia, que ainda pode responder processo por danos morais, e na vida do próprio profissional, que além de ser demitido corre o risco de perder o registro profissional, nos casos em que essa decisão é possível.
Vivemos em um mundo cada vez mais preocupado com questões ambientais, sociais e de governança das empresas. E a LGPD é uma importante ferramenta dentro do conceito ESG. Vale frisar que a LGPD não é uma “jabuticaba” brasileira. Países mais desenvolvidos já contam há tempos com regras para proteção de dados. Estamos apenas nos adequando às novas exigências.
No exemplo citado, o vazamento atingiu dois pilares ESG. O “S”, de social, e o “G” de governança. Social pelo impacto na vida da paciente, que julgava estar segura naquele ambiente hospitalar, mas não estava. Quanto à governança corporativa, os riscos jurídicos e os problemas ao nome do hospital podem contaminar a imagem do grupo empresarial mantenedor, um dos maiores do país na área de saúde e com ações listadas na B3 (BVMF:B3SA3).
Empresas geridas verdadeiramente dentro do conceito ESG se preocupam em implantar meios que evitem esse tipo de acontecimento seja pela ação de hackers ou por qualquer outro canal. Vazamento de dados é algo extremamente grave e complexo, o que exige uma postura proativa das empresas baseada na criação de uma política específica capaz de cercar o tema por todos os lados.
Antigamente, informações vazavam e todo o problema era colocado em panos quentes. Mas tudo mudou. Hoje, além da multa que, com base na LGPD, pode chegar a R$ 50 milhões, sem contar custos com processos por danos morais, empresas que não conseguem ou não sabem cuidar de seus dados perdem credibilidade no mercado. E sem credibilidade ficará cada vez mais difícil seguir em frente.
Eventos como o citado, causado por algum profissional que tem acesso ao banco de dados da empresa, somados aos diversos vazamentos de dados proporcionados por ataques virtuais, mostra o quanto ainda falta para que nossas companhias, de forma geral, estejam, de fato, em conformidade com a LGPD. Mas como implantar um modelo e instruir funcionários se o próprio RH não está devidamente preparado para encarar as exigências da LGPD?
Pesquisa realizada pela HRTech Convenia, com apoio da InfoJobs, revelou que 53% dos profissionais da área de RH não têm nenhum tipo de treinamento sobre a legislação e 43% acreditam que a gerência não entende as consequências da falta de cumprimento da LGPD. Uma realidade preocupante, afinal, companhias que ainda não atuam de acordo com essa lei, com certeza ainda não são geridas conforme a cartilha do ESG.
