Privacidade de Dados & Segurança da Informação | Até onde a área deve interferir nos processos de negócio?
Embora já exista uma cultura de mais de uma geração em Segurança da Informação e Privacidade de Dados já seja algo tratado em alto nível, ainda persiste um mito (que foi muito intenso em Tecnologia da Informação no passado) de que nossa área deve executar partes de processos de negócio onde isso envolva a aplicação de Privacidade de Dados e Segurança da Informação, intereferindo nas áreas e atuando diretamente nas ações de todos os departamentos (ou dos que fazem escopo) de uma organização.
Esta discussão ainda é forte porque, em tempos de alta complexidade nas questões de conformidade, é demandado de todo o ecossistema de uma corporação que se aplique muitas medidas e muito volume de trabalho focado em proteção de dados, levando a questionamentos (normalmente das áreas de negócios) sobre financiamento destas ações (quem paga as horas gastas para aderir aos controles) e o esforço aplicado (que por vezes impacta na produtividade e entregas).
Certamente não há receita pronta para isso, mas assim como a área de TI, que deve prover infra-estrutura para que o trabalho se desenvolva com mais agilidade, nossa área deve garantir que este trabalho e suas entregas sejam realizadas com toda a conformidade requerida, seja por leis e regulações ou mesmo por questões internas, como políticas e procedimentos, e isso passar por uma linha muito tênue entre manter a conformidade e gerar a conformidade.
A manutenção da conformidade, missão tipicamente de um time GRC (Governança, Riscos e Conformidade) é a forma de controlar, gerir e garantir que cada componente da organização esteja ciente, capacitada e treinada para executar as ações necessárias que levarão ao ponto de conformidade, deixando a área de Privacidade de Dados e Segurança da Informação em um papel de coadjuvante, e não de protagonista.
Já a geração da conformidade deve ser feita pelas áreas e pessoas que formam a estrutura geral, inclusive aplicando suas especificidades combinadas ao seu conhecimento especialistas (por exemplo, o RH deve saber aplicar os elementos de Privaciadade de Dados e Segurança da Informação em processos de Recrutamento & Seleção, Admissão e Desligamento).
Recomendados pelo LinkedIn
A função de mapear, catalogar e valorar ativos e seus riscos deve ser da área onde esta informação está gerada e armazanada, sendo Privacidade de Dados & Segurança da Informação um gestor e também um consultor para tal.
Porém, o que vemos por aí são confusões e conflitos de interesse, onde frequentemente os profissionais de Privacidade e Segurança acabam interferindo e gerando os componentes de conformidade, como declarando ativos nas mais diversas áreas, definindo seu risco (sem o conhecimento pleno da informação) e representando o negócio em auditorias e fiscalizações.
Isso é perigoso, pois fatalmente configura um conflito de interesses e também gera um problema de integridade e qualidade das informações e, consequentemente, da gestão de riscos, que fica comprometida e, desta forma, se fragiliza.
Portanto, na minha opinião devemos considerar que o time de Privacidade Dados e Segurança da Informação é garantidor da conformidade, e não gerador propriamente dito dela (esta atribuição é de toda a corporação).