Etapas para a Conformidade
Oriunda da União Européia, internacionalmente conhecida como GDPR (General Data Protection Regulation), a qual de alguma forma deu origem, orientou e inspirou a Lei Geral de Proteção de Dados brasileira (LGPD ou Lei 13.709 de 2018), deverá, a princípio, entrar em vigor em meados de 2020.
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada no Brasil e muda significativamente as obrigações das empresas quando se trata de lidar com os dados pessoais ou de pessoas naturais, objetivando aumentar a privacidade e proteção, e atender aos anseios dos indivíduos em relação ao controle sobre os seus próprios dados.
Em relação às empresas, a lei terá significativo impacto legal, econômico e estratégico, e irá cobrar a conformidade nos diversos pontos referentes a segurança, tratamento e proteção de dados, nas formas física e cibernética em relação aos processos organizacionais de manipulação, através da definição de regras e limites às das empresas e órgãos públicos, e suas cadeias produtivas, determinando assim mais direitos aos usuários.
Uma questão que muitas vezes aparenta não estar muito clara, a primeira vista, é que os processos relativos à privacidade e proteção não relegam-se apenas aos fatores digitais ou cibernéticos, mas englobam também questões físicas de manipulação nos diversos processos e operacionais organizacionais.
Atendo-se aos riscos inerentes, seus impactos e probabilidades, deve haver uma definição clara de objetivos de controle, através do engajamentos e instituição tone-at-the-top de processos e procedimentos devidos que permeiem toda a organização na busca de uma cultura e postural empresarial que atenda as diferentes necessidades estruturais para a proteção e privacidade de dados.
Devemos buscar o entendimento de que o cumprimento ou a conformidade com a lei em maior espectro não se restringe a estruturas e disciplinas apartadas ou isoladas em silos, mas sim amplamente integradas, tratando seus processos com aderência tecnológica e normativa específicas, uma vez que as vulnerabilidades e riscos também podem ser integrados ou correlacionados.
A não observação, em sentido mais amplo da LGPD, pode criar uma janela de oportunidades para fraudes internas e externas, físicas e cibernéticas, permitindo que agentes mal-intencionados, de dentro ou de fora da organização, possam explorar vulnerabilidades diversas, para auferir lucros indevidos, impodo assim sançoes de impactos econômico e reputacional advindos de práticas equivocadas ou insuficientes de observância regulamentar.
A LGPD é uma legislação poderosa e nos remete à várias questões-chave, dentre elas algumas como:
- Como está a prontidão em relação a proteção e tratamento de dados em conformidade com a LGPD por parte da organização?
- Existe realmente uma cultura e conscientização organizacionais de segurança e proteção de dados por parte da organização?
- Qual o nível de engajamento do board?
- Por onde começar?
- O que priorizar?
Um ponto fundamental para o sucesso de implementação da adequação e conformidade com a LGPD, é sem dívida o entendimento do contexto como um todo através de uma visão crítica por parte dos administradores, do controle (shareholders), principais responsáveis e líderes de operações e negócio.
Neste ponto podemos ressaltar as etapas do processo de adequação e conformidade buscando entender os desafios corporativos do que podemos entender como uma “jornada LGPD”, frente a realidade e natureza de cada negócio em questão. Não existe uma regra única de estabelecimento da implementação em si, existe casos e casos, tenho visto diferentes abordagens em mercado com diferentes ênfases. Mas de modo geral podemos citar as fases ou etapas de adequação e conformidade contemplando atividades e estruturas inerentes, as quais podemos chamar de (i)conscientização, (ii)análise, diagnóstico e recomendações, (iii)transformação ou implementação e (iv)monitoramento contínuo.
Fica um tanto difícil abordarmos aqui todos os passos componentes do escopo completo e detalhado de cada uma destas etapas, mas algumas questões podemos observar em cada uma delas, salientando que algun(s) do(s) passo(s) componente(s) de uma etapa ou fase, pode(m) vir a ser uma etapa a parte, dependendo do entendimento, característica em específico ou nível de maturidade encontrado.
Na etapa de conscientização podemos realizar workshops orientados para cada estrato corporativo em específico, com o intuito de apresentar os diferentes desafios, riscos e benefícios da “jornada LGPD” para cada estrato em questão em sua linguagem específica, estendendo-se esta abordagem dentro das cadeias produtivas internas e externas da organização, objetivando assim o inicio do processo de aculturação e engajamento corporativos e entendimento da cultura organizacional inerente.
Uma boa prática, já de início, e aqui isto não é uma regra, é instituirmos a função de DPO ou encarregado e demais comitês multidisciplinares de colaboração, os quais poderão auxiliarão nas etapas seguintes.
Na etapa que compreende os passos relativos a análise, diagnóstico e recomendações, buscamos entender os mapeamento e tratamento (físico e digital) de dados existentes, suas classes ou classificação e fluxos. Também buscamos, analisar as estruturas e postural físico e digital de segurança e proteção de dados (seus riscos, vulnerabilidades, seus impactos (análises devidas) e probabilidades, etc…), bem como uma análise de procedimentos e processos de negócios. O entendimento da cultura empresarial se faz uma prática interessante. Após as atividades de análise poderemos obter então, um diagnóstico do postural e cultura existentes, e assim então, apresentar as recomendações sobre cada ponto e questão.
Já na etapa de transformação ou implementação, é estabelecido o novo cenário e/ou a correção de desvios encontrados, através da instituição de procedimentos de (re)classificação e tratamento de dados, de políticas diversas relativas a segurança e proteção de dados, procedimentos e processos organizacionais, estruturas e demais dispositivos necessários. Nesta etapa, buscamos a instituição e reforço da cultura organizacional com foco e orientada à conformidade e engajamento para a adequação, onde a instituição de um sistema de comunicação e educação se faz interessante prática. E não esqueçamos aqui das questões tecnológicas envolvidas.
Por fim, uma etapa que nunca tem fim, e por isso uma jornada, ou seja, o monitoramento contínuo, no qual ainda se após as implementações feitas, persistirem desvios, analisamos seus impactos e corrigimos. Esta etapa compreende o escopo realizado nas etapas anteriores, na busca de evitar ou mitigar ao máximo os efeitos danosos de alguma não conformidade frente as sanções previstas em lei, provendo assim condições de comprovar procedimentos feitos e respostas rápidas à incidentes e à própria autoridade.
Entendemos que a conformidade coma a LGPD, é uma jornada com seus desafios e benefícios, e sem dúvida uma aliada aos processos de inovação e transformação não só digital, mas cultural e institucional.
Prezados amigos, buscamos aqui, neste espaço, tentar abordar as etapa que contemplam a adequação e conformidade com esta importante legislação, tendo a consciência de que em um breve texto sobre esta temática, fica inviável abordarmos todos os pontos pertinentes.
E para demais detalhes ou questões estamos a inteira disposição.
Um abraço e até breve.
Vladimir Barcellos Bidniuk
Diretor da Moore Porto Alegre Consultoria
Comissão Especial LGPD do COPEC – Federasul