Em pouco mais de um ano, a nova Lei Geral de Proteção de Dados (LGPD) entrará em vigor no Brasil com efeitos imediatos nos bolsos de quem não estiver em conformidade. As conversas, de forma geral, bem como os preparativos, porém, ainda estão muito superficiais, não identificando os reflexos profundos e difusos que a nova legislação trará para as empresas.
Setores como financeiro e, em níveis de prontidão, mesmo o de varejo, caminham bem, mas áreas como a da saúde, por exemplo, ainda engatinham. Imagine que você vá fazer um simples exame e daí o médico da clínica pede para que você encaminhe os resultados para um e-mail genérico como “atendimento@”. Quantas pessoas não terão acesso ao mesmo? Onde e de que forma esses dados serão armazenados e usados?
A situação descrita acima deixa claro que uma análise simples de “conforme / não conforme” não é suficiente ou pelo menos não resolve todas as implicações envolvidas. Para ir mais a fundo, é preciso reconhecer que o atendimento integral à nova Lei tem um caráter multidisciplinar que abrange estratégias de negócios, processos, tecnologias, políticas de relacionamento e atendimento ao consumidor, práticas de RH, postura dos colaboradores e até questões de cultura corporativa.
Com este cenário, uma opção consistente de preparação é, à semelhança da área de Administração e Contábil, realizar um Assessment LGPD na empresa para compreender suas práticas atuais de proteção de dados, o que a nova legislação está requerendo e qual é este “gap” entre as duas dimensões. Nesta análise, focamos em três aspectos principais: negócios, jurídico e TI, levando-se em consideração não somente a própria LGPD, como também os códigos internacionalmente reconhecidos para a segurança da informação e o gerenciamento de riscos.
Neste trabalho, o primeiro passo é identificar claramente quais dados de pessoas físicas a empresa armazena, ou tem contato. A natureza deles também é algo a ser estudado, pois quanto mais sensível a informação, maior o potencial de dano e nível de segurança exigido. Passamos então à análise do lugar ou maneira como estes dados são armazenados, ou seja, em sistemas, e-mails, planilhas, contratos, notas, recibos etc.
Chegamos então a uma das principais novidades da LGPD, a avaliação ou mesmo desenho dos procedimentos de obtenção de consentimento das pessoas para utilização de dados. Aqui, a situação começa a complicar mais, pois não basta ter o procedimento para permitir a utilização, a lei exige que a empresa possa rastrear posteriormente como os dados das pessoas são utilizados, quem os utiliza, para qual propósito e por quanto tempo. Logo, algo complexo que demanda tanto sistemas de TI, como processos, treinamento de equipe e até a criação de métodos de auditoria.
Há também uma situação inteiramente nova que precisa ser endereçada: procedimentos efetivos para garantir o direito de remoção dos dados pessoais quando assim solicitado. Em um olhar superficial, pode parecer algo simples. Mas não é! Imagine o desafio de remover um dado de empresas de porte nacional, com vários canais de venda, bancos de dados, integração com fornecedores e subsidiárias de um mesmo grupo. Sem contar os itens mais práticos: quem vai receber este pedido? De que forma? Qual é o prazo de exclusão? Como o cliente ‘proprietário’ é avisado? Ou seja, é toda uma nova atividade dentro da empresa que precisa ser desenvolvida.
A empresa precisa se preparar para um eventual vazamento de informações. Além das multas, a Lei prevê que este fato deve ser comunicado publicamente. Logo, as empresas devem ter bem claro: quem cuida das informações, como são monitorados vazamentos, quem compõe o time de crise para tomar as decisões de forma rápida, dentre outros. Em paralelo a tudo isso, as empresas devem reavaliar contratos, tanto com fornecedores quanto para o time interno, engajar a equipe e comunicar adequadamente as mudanças aos públicos envolvidos, definindo quais pontos devem ser tratados, por quem e em qual prazo.
Todas essas questões demandam tempo, não somente para as adequações, mas para que as partes envolvidas concordem acerca das mudanças necessárias. Essa é a principal razão para que se estabeleça um senso de urgência para as ações rumo à LGPD. Quanto mais tempo a empresa demorar para começar, menos tempo terá para ajustar o que for preciso e ter confiança nessa curva de aprendizado, necessária e inevitável.
As sanções administrativas e multas são pesadas e passam a valer a partir de agosto de 2020. Dependendo da maturidade da empresa e do ramo de atuação, as mudanças e a transformação podem ser gigantescas. A LGPD pode enterrar estratégias/ações de captação de clientes para venda de produtos e serviços e até mesmo inviabilizar negócios inteiros. Por isso, recomendo que este assunto esteja o quanto antes na pauta principal das lideranças e não perca seu senso de urgência.
*Antonio Cipriano é vice-presidente da Cosin Consulting
Atua há 25 anos em consultoria. Trabalhou em projetos de consultoria na Accenture no período de 1994 a 2003, na CPM Braxis (atual Capgemini) entre 2003 e 2007, e é VP da Cosin Consulting desde maio de 2007. Possui experiência em redesenho de processos, definição de normas e políticas, reestruturação organizacional, desenho e implantação de centro de serviços compartilhados, gestão de projetos (PMO), estruturação de Plano Diretor de Tecnologia da Informação (PDTI) e implantação de soluções de tecnologia, nos diversos segmentos de indústrias. Formado em Engenharia Mecânica pela Escola de Engenharia Mauá em 1994, pós-graduado em Tecnologia da Informação pela Fundação Getúlio Vargas, com especialização em Finanças Corporativas pela Fundação Getúlio Vargas, possui formação para atuar como membro de Conselho de Administração pelo Instituto Brasileiro de Governança Corporativa (IBGC). Mais recentemente, o executivo vem se dedicando ao estudo da nova Lei Geral de Proteção de Dados (LGPD), em parceria com o escritório de advocacia Pereira Neto | Macedo, tendo desenvolvido uma metodologia de assessment para implementação das novas regras.