Bruna Fabiane da Silva (*)
Se ainda havia no ambiente corporativo aqueles que se perguntavam se a Lei Geral de Proteção de Dados (LGPD) pegaria ou não no Brasil, a resposta é que hoje nós temos no país dois tipos de empresas. Um deles é o das que estão em conformidade com a proteção de dados e o outro é o das que estão fora da lei.
Prova disso é que, segundo a pesquisa Painel LGPD, realizada por especialistas do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), com apoio da ferramenta Jusbrasil, em 2023 foram identificadas 1.206 ocasiões nas quais a lei foi citada na argumentação dos juízes. Este número é 81% maior do que o registrado em 2022 (665) e mais do que quatro vezes superior a 2021 (274).
Com este ritmo de crescimento, aqueles que ainda não tomaram nenhuma providência a respeito do tema já podem começar a rezar para que em 2024 sua marca não esteja presente no próximo levantamento sobre o número de processos.
Mas, na prática, como evitar que isso aconteça? Por onde começar? Como ter a certeza de que a organização não está desperdiçando dinheiro com assuntos desnecessários?
Para os que enfrentam essas dúvidas, duas verdades ganham prioridade neste momento:
- O pior dinheiro gasto é aquele que se gasta duas vezes
- Tudo o que acontece sem planejamento tem grande chance de dar errado
Com relação à primeira verdade, ele leva em conta que, para não perder clientes, não levar multas e não ter problemas com a justiça, não resta outra alternativa senão investir em conformidade com a LGPD. Isto posto, o melhor a fazer é garantir que o investimento seja feito de forma correta para não precisar ser feito duas (ou mais) vezes.
Parece óbvio então que essa reflexão leva diretamente ao entendimento da segunda verdade. Não é possível sair do zero e chegar no dia seguinte aos 100% de conformidade. Então, a busca pela eficiência indica a necessidade de exercer a capacidade de planejamento pensando nas seguintes etapas:
- Preparação:
Com a visão expandida sobre a importância da conformidade, a preparação para a adequação da LGPD passa a ser estruturada e alinhada com os objetivos de curto, médio e longo prazo das organizações públicas e privadas. O apoio da alta direção se reflete na melhor provisão de recursos, tais como, mas não se limitando a, orçamento, software de gestão, alocação de pessoais, atribuições de papéis e responsabilidades, comprometimento com a tomada de decisão assertiva para que durante o processo a organização não se depare com um grande revés.
- Organização:
O planejamento da conformidade com a LGPD, no sentido da melhoria contínua, a fim de abranger pontos de treinamentos para todos que manipulam os dados pessoais, criação de comitê de privacidade com os gestores das áreas, a designação do DPO, a confecção de políticas de privacidade e de segurança da informação, o mapeamento de processos e fluxo de dados, o enquadramento das bases legais, o ajuste dos aditivos contratuais, gap assessment sobre os processos de tratamento, consolidação de um plano de ajustes estruturados para correção dos gaps demonstram maturidade no entendimento das exigências da LGPD.
- Implementação ou execução:
A execução conta com os ajustes de privacidade e proteção de dados, de forma que é fundamental o exercício de conscientizar os colaboradores, implementar as políticas, medidas organizacionais e medidas técnicas, ajustar controles de segurança, mitigar os riscos à privacidade e aplicar processos que garantam o exercício dos direitos dos titulares dos dados. Implementar ações para alcançar a alta exigência de privacy by design e privacy by default. Nenhuma organização sem estratégia e frameworks adequados, consegue atender a determinação de considerar os requisitos de privacidade e proteção de dados na fase de projeto dos processos de tratamento de dados.
- Governança:
Não pode haver nenhuma etapa solta no processo de governança em privacidade e proteção de dados. O envolvimento das partes interessadas internas deve ser contínuo e o DPO deve ter condições de executar as suas atribuições para apoiar os setores no correto tratamento dos dados. Apoiar os setores não é o mesmo de fazer pelos setores. O trabalho do DPO precisa estar estruturado e bem entendido por todos da empresa, para que não seja gerada expectativas desalinhadas com as responsabilidades de cada um.
- Avaliação e auditoria:
Checar os ajustes realizados e garantir que o gerenciamento será mantido e monitorado para que sustente as práticas aplicadas. Revisar e avaliar os processos garantirão que a empresa mantenha o respeito à privacidade e proteção de dados pessoais, suportando possíveis mudanças de processos, regulamentos, sistemas ou pessoas.
Resumindo. A conformidade com a LGPD não pode ser enganosa ou virtual, ela deve ser real, ou seja, deve ter condições de ser implementada e evidenciada em todos os momentos enquanto essa lei estiver em vigor.
(*) Sócia da DeServ Academy e foi eleita no final do ano passado uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity)