Nova Lei Geral de Proteção de Dados: Por onde começar? Por Roberto Wik*
O ano acabou de começar e 2020 parece estar distante. Será?
A nova Lei Geral de Proteção de Dados do Brasil (LGPD – Lei 13.709/2018 / MP Nº 869), que deverá entrar em vigor em agosto de 2020, já está deixando muitas empresas apreensivas. Depois dos booms de ISO 9000, ISO 27000, SOX, entre outros, a LGPD é com certeza uma das leis recentes de maior impacto nas organizações de forma geral, e aborda o tema de governança de dados como nenhuma outra.
O dispositivo, em grande parte similar ao General Data Protection Regulation (GDPR), em vigor na Europa desde 25 de maio de 2018, visa a trazer mais rigor para a forma com que empresas privadas e órgãos governamentais tratam as questões de privacidade e proteção de dados dos cidadãos brasileiros. Informações pessoais podem variar de endereços residenciais, escolas frequentadas, datas de nascimento, número de CPF, números de registro de carro e informações médicas, a dados sobre ocupação, renda mensal, perfis de risco e muito, muito mais. E nem todas as informações são detidas pelos dados originais proprietários – grande parte também é compartilhada com fornecedores, parceiros e terceiros.
Neste período de incertezas e adequação há também uma série de razões positivas para embarcar nessa jornada, incluindo oportunidades para estreitar o relacionamento com o cliente, tornar serviços mais competitivos fazendo-os mais personalizados e deixar uma porta aberta para novas oportunidades, a fim alcançar mais receita e impulsionar o processo de transformação digital nas organizações.
E agora? Por onde começar?
Não existe solução única e completa para se adequar à LGPD, contudo há diversos caminhos e abordagens para tratar desse novo requerimento, de forma a enxergar não apenas como algo pontual, mas como uma oportunidade de preparar sua organização para requerimentos futuros, melhorando a governança de dados. Além disso existem benefícios de negócio que vão além da conformidade com a lei.
A implantação de ações que vão fazer com que sua empresa fique aderente à legislação deve ser encarada como uma jornada de transformação, e não um simples projeto. Estar pronto para a LGPD significa muito mais que estar em compliance com a lei. Essa jornada pode ser definida em cinco etapas principais:
1. Engajar as várias áreas da empresa no projeto, pois são afetadas pelo LGPD por utilizarem dados de clientes ou dos colaboradores em suas atividades.
2. Identificar quais dados sua organização utiliza. Saiba quais dados sua organização gerencia, onde estão, quem os utiliza, com que propósito e como são protegidos.
3. Treinar seus funcionários e educá-los sobre a importância e os impactos da LGPD.
4. Modificar seus processos de negócios para dar suporte às solicitações de auditoria e gerenciamento de consentimento.
5. Analisar e gerenciar suas políticas de segurança e privacidade e revisar todos os contratos relevantes com terceiros.
Em seguida a essa mobilização inicial, deve-se então realizar uma avaliação do estado atual na empresa em relação ao requerido pela LGPD. Com isso, tem-se uma visão mais clara das não conformidades existentes, bem como a prontidão da organização para assumir essa jornada.
O passo seguinte é a definição de um plano de ação com um roadmap, conforme a priorização feita pela organização em relação aos principais pontos encontrados. Esse processo será contínuo e evolutivo, com oportunidades de introduzir novas soluções que ajudam a mitigar os riscos de negócios para o LGPD, tais como automação de processos (RPA), Inteligência Artificial (AI), Internet das Coisas (IoT), Gerenciamento de Dados Mestres (MDM).
Paralelamente a todo esse processo, deverá haver uma frente de educação e conscientização para toda empresa, com um projeto de gestão de mudança dedicado e também programas de treinamento visando a alcançar mudanças sólidas para mitigar quaisquer riscos relacionados ao infringimento da lei.
E não é somente para dentro de casa que devemos olhar. As empresas também devem demonstrar que garantiram que terceiros processando dados sob sua responsabilidade tenham políticas e processos suficientes para garantir que:
a) Terceiros também estejam em conformidade com a LGPD;
b) Os processos não engessem as atribuições do líder responsável pelo gerenciamento de dados.
Muito provavelmente você precisará de suporte em outras duas frentes: uma para definição e implantação das ações (processos) e outra voltada à tecnologia com foco na gestão e governança dos dados e na automação.
Principais recomendações para uma jornada LGPD de sucesso:
• Defina métricas claras – embora a conformidade com a LGPD seja óbvia, as metas centradas no cliente, como reduzir as taxas de atrito e aumentar a aquisição de clientes, podem ajudar a aumentar a percepção da governança de dados como um facilitador da centralização no cliente.
• Concentre-se em uma área de cada vez para ajudar a monitorar o progresso, refinar a estratégia e os investimentos.
• Promova a colaboração em um estágio inicial – garantir a adesão de pessoas-chave ajudará a comunicar a importância da governança de dados em toda a empresa.
• Tenha a cultura correta – defina a responsabilidade pela governança de dados (eleja um responsável pela privacidade de dados se você não tiver um). A governança de dados deve ser coordenada entre as áreas de negócios e a de TI – e, para que isso funcione, é necessária uma mudança cultural em toda a empresa. De cima para baixo, os funcionários devem ser incentivados a entender a importância dos dados e promover uma cultura orientada à proteção deles.
• Atenha-se a uma única arquitetura de gerenciamento de dados – incluindo integração de dados, gerenciamento de qualidade de dados, gerenciamento de dados mestres e segurança de dados – simplificando o gerenciamento geral à medida que seu ambiente de dados se expanda.
• Use tecnologia com propósito específico para automatizar e dimensionar o gerenciamento e a governança de dados – você não pode depender apenas de recursos humanos para lidar com a explosão de dados. A tecnologia permite que você forneça uma solução de custo efetivo e adequada às necessidades futuras.
Em resumo, a LGPD:
• É uma das legislações mais impactantes no Brasil sobre governança e proteção de dados dos últimos anos.
• Tem impacto em qualquer organização presente no Brasil que lide com os dados pessoais e corporativos de cidadãos brasileiros.
• A multa máxima por descumprimento da lei é de até R$ 50 milhões ou 2% do faturamento anual da organização – o que for maior.
• O prazo para atingir a conformidade é agosto 2020.