Se ainda havia no ambiente corporativo aqueles que se perguntavam se a Lei Geral de Proteção de Dados (LGPD) pegaria ou não no Brasil, a resposta é que hoje nós temos no país dois tipos de empresas. Um deles é o das que estão em conformidade com a proteção de dados e o outro é o das que estão fora da lei.
Prova disso é que, segundo a pesquisa Painel LGPD, realizada por especialistas do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), com apoio da ferramenta Jusbrasil, em 2023 foram identificadas 1.206 ocasiões nas quais a lei foi citada na argumentação dos juízes. Este número é 81% maior do que o registrado em 2022 (665) e mais do que quatro vezes superior a 2021 (274).
Com este ritmo de crescimento, aqueles que ainda não tomaram nenhuma providência a respeito do tema já podem começar a rezar para que em 2024 sua marca não esteja presente no próximo levantamento sobre o número de processos.
Mas, na prática, como evitar que isso aconteça? Por onde começar? Como ter a certeza de que a organização não está desperdiçando dinheiro com assuntos desnecessários?
Para os que enfrentam essas dúvidas, duas verdades ganham prioridade neste momento:
– O pior dinheiro gasto é aquele que se gasta duas vezes
– Tudo o que acontece sem planejamento tem grande chance de dar errado
Com relação à primeira verdade, ele leva em conta que, para não perder clientes, não levar multas e não ter problemas com a justiça, não resta outra alternativa senão investir em conformidade com a LGPD. Isto posto, o melhor a fazer é garantir que o investimento seja feito de forma correta para não precisar ser feito duas (ou mais) vezes.
Parece óbvio então que essa reflexão leva diretamente ao entendimento da segunda verdade. Não é possível sair do zero e chegar no dia seguinte aos 100% de conformidade. Então, a busca pela eficiência indica a necessidade de exercer a capacidade de planejamento pensando nas seguintes etapas:
Preparação:
om a visão expandida sobre a importância da conformidade, a preparação para a adequação da LGPD passa a ser estruturada e alinhada com os objetivos de curto, médio e longo prazo das organizações públicas e privadas. O apoio da alta direção se reflete na melhor provisão de recursos, tais como, mas não se limitando a, orçamento, software de gestão, alocação de pessoais, atribuições de papéis e responsabilidades, comprometimento com a tomada de decisão assertiva para que durante o processo a organização não se depare com um grande revés.
Organização;
O planejamento da conformidade com a LGPD, no sentido da melhoria contínua, a fim de abranger pontos de treinamentos para todos que manipulam os dados pessoais, criação de comitê de privacidade com os gestores das áreas, a designação do DPO, a confecção de políticas de privacidade e de segurança da informação, o mapeamento de processos e fluxo de dados, o enquadramento das bases legais, o ajuste dos aditivos contratuais, gap assessment sobre os processos de tratamento, consolidação de um plano de ajustes estruturados para correção dos gaps demonstram maturidade no entendimento das exigências da LGPD.
Implementação ou execução:
A execução conta com os ajustes de privacidade e proteção de dados, de forma que é fundamental o exercício de conscientizar os colaboradores, implementar as políticas, medidas organizacionais e medidas técnicas, ajustar controles de segurança, mitigar os riscos à privacidade e aplicar processos que garantam o exercício dos direitos dos titulares dos dados. Implementar ações para alcançar a alta exigência de privacy by design e privacy by default. Nenhuma organização sem estratégia e frameworks adequados, consegue atender a determinação de considerar os requisitos de privacidade e proteção de dados na fase de projeto dos processos de tratamento de dados.
Governança:
Não pode haver nenhuma etapa solta no processo de governança em privacidade e proteção de dados. O envolvimento das partes interessadas internas deve ser contínuo e o DPO deve ter condições de executar as suas atribuições para apoiar os setores no correto tratamento dos dados. Apoiar os setores não é o mesmo de fazer pelos setores. O trabalho do DPO precisa estar estruturado e bem entendido por todos da empresa, para que não seja gerada expectativas desalinhadas com as responsabilidades de cada um.
Avaliação e auditoria
Checar os ajustes realizados e garantir que o gerenciamento será mantido e monitorado para que sustente as práticas aplicadas. Revisar e avaliar os processos garantirão que a empresa mantenha o respeito à privacidade e proteção de dados pessoais, suportando possíveis mudanças de processos, regulamentos, sistemas ou pessoas.
Resumindo. A conformidade com a LGPD não pode ser enganosa ou virtual, ela deve ser real, ou seja, deve ter condições de ser implementada e evidenciada em todos os momentos enquanto essa lei estiver em vigor.
*Bruna Fabiane da Silva é sócia da DeServ Academy, e foi eleita no final do ano passado uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity)