Desde 2016 temos assistido a uma enorme onda de preocupações com a privacidade dos dados pessoais e, em especial, como as organizações ao redor do mundo vêm tratando do tema. Em 2018 a Europa protagonizou uma necessidade de se adaptar ao Regulamento Geral de Proteção de Dados, o RGPD (ou GDPR – General Data Protection Regulation) como é mais conhecido. Para ser mais preciso, a 18 de maio de 2018 vencia o prazo para as organizações européias se adequarem ao regulamento que viria a ter impacto não apenas na Europa, mas também no resto do mundo. Presenciamos em nossa operação com base em Lisboa um grande movimento de preocupação das empresas em se adaptarem ao novo marco regulatório, que trazia luz à necessidade de devolver ao titular dos dados todo o controle sobre a forma como devem ser tratados os seus dados pessoais.

Impacto Nacional

Pouco depois foi a vez do Brasil seguir este mesmo movimento. Quando o Velho Mundo vivia a sua data limite de adequação ao RGPD, em Brasília era homologada a Lei Geral de Proteção de Dados (LGPD), que viria a ser uma espécie de versão tropical do RGPD, trazendo desafios semelhantes às empresas e instituições brasileiras. Promulgada em 2018 pelo então Presidente Michel Temer, a lei entrou em vigor com prazo de 2 anos para passar a ser cobrada. Por questões paralelas, e a pandemia do Covid-19 foi um influenciador significativo, a lei entrara em vigor, exceto seu artigo 52º com as sanções administrativas. Mas a apartir de 01 de agosto de 2021 nada ficou para trás e as penalizações de até 2% do faturamento anual ou R$52MM passam a ser uma realidade.

O que fazer

Desde 2018 temos visto organizações de diversos portes, e dos mais variados setores da economia, estabelecendo planos de ação para ajustarem-se à nova lei. A partir de nossa experiência em projetos de adequação de várias empresas e instituições, conseguimos resumir alguns pontos que merecem uma atenção especial nesta jornada pela privacidade:

Realize um diagnóstico consistente: Não basta correr todos os controles da empresa e avaliar se estão ou não implementados como o esperado. Um diagnóstico (ou gap analysis) das práticas de governança, segurança e privacidade de dados pessoais devem ser verificadas através de uma régua de maturidade que auxilie a identificar de todos os temas que precisam ser tratados, quais os que apresentam maior defasagem ao restante. É importante que este diagnóstico seja realizado de forma abrangente na organização e que não deixe de conversar com áreas estratégicas da organização que tratam de dados pessoais,  não se restringindo à TI ou ao jurídico. É claro que um trabalho interno tem a sua relevância, mas avalie a possibilidade de contratar uma consultoria ao menos para esta etapa. Uma visão de fora e especializada pode agregar em perspectivas que por dentro da própria organização pode ficar mais difícil.

Estabeleça um plano de ação e atribua responsabilidades: Mais importante do que de fato estabelecer apenas um plano de ação através de um conjunto de tarefas, prazos e orçamentos para atacar os gaps identificados, deve-se conseguir priorizar corretamente as ações e, principalmente, ter sucesso ao nomear os seus responsáveis. Fica aqui também o limite de definir qual será a estrutura do Encarregado de Proteção de Dados (ou DPO como o mercado vem chamando). Se ainda não tiver sido definido até este ponto, deste momento em diante não se deve deixar passar.

Prazos e sprints: Na maioria dos casos o trabalho de adequação aos requisitos da LGPD representará um projeto transversal à organização, coberto de novos desafios, em especial para os times de TI, RH, Jurídico, Comercial, Relacionamento, Desenvolvimento etc. Mas a definição de metas curtas, e sprints quinzenais podem aproveitar a cultura agile para resolver o emergencial. Profissionais experientes em segurança da informação têm a tendência a conseguirem orientar esta priorização. Contudo uma boa análise da lei mesclada com a percepção de maturidade do gap podem contribuir para um avanço mais significativo. E como o prazo do dia 01 de agosto de 2021 já passou, quem ainda não tiver avançado deve estar preocupado em assegurar que os prazos não ultrapasse muito um semestre de trabalho para os pontos cruciais. Para saber o quê deverá ser feito, o diagnóstico ajuda; mas a melhor gestão do projeto em si, com foco nas soluções de quick-win (do inglês “ganhos rápidos”) requererá uma visão madura sobre os desafios. Aqui, mais uma vez o apoio de uma consultoria poderá ser fundamental para a eficiência desta etapa.

Estabelecer uma estrutura conjunta de suporte entre o CSO e DPO: É comum que a organização não tenha um responsável pelo tema de segurança da informação (Chief Security Officer – CSO). Esta tarefa em geral é delegada à área de TI e, por consequência, acaba por vezes ficando relegada para segundo plano e restrita à segurança cibernética. Segurança da informação é um tema mais amplo, ligado ao business e que deve avançar em conjunto com os esforços de segurança cibernética. Mas alinhado com estas frentes, a própria lei observa a necessidade de um Encarregado de Proteção de Dados que deve ser o accountable pela governança e gestão da privacidade dos dados pessoais. As estruturas de segurança e de privacidade devem andar lado a lado na evolução e modo que a gestão da privacidade seja impulsionada de maneira correta e equilibrada e garantir que as ações sejam evoluídas, onde a gestão da segurança e da privacidade de dados pessoais não deixem de estar na pauta estratégica dos executivos.

Conte suas impressões

O que achou desse texto? Gostaria de contribuir com impressões, opiniões ou suas próprias experiências? Então deixa um comentário ou entra em contato direto. E se estivermos por perto, tomamos um café e conversamos.