Você sabia que em agosto de 2021, mesmo mês da entrada em vigor da Lei Geral de Proteção de Dados Pessoais – LGPD, aproximadamente 80% das empresas ainda não estavam preparadas para a lei? Sim.
De acordo com pesquisa realizada pela empresa de CRM e Marketing, RD Station, em parceria com o Instituto Manar, essa era a taxa de empresas que ainda não haviam se preparado de forma efetiva para estarem adequadas à LGPD em agosto do ano passado.
Bom, o número melhorou de lá pra cá, mas ainda estamos longe de ter uma taxa alta de adequação à lei. E o motivo principal da lentidão no processo de adequação dos negócios é a dificuldade organizacional e operacional de implementar a lei na prática, bem como, a complexidade na organização do plano de adequação.
Pra isso, nós da Tee, especialistas em governança, privacidade e proteção de dados e peritos na implementação da LGPD nas empresas de diversos tamanhos e setores, preparamos esse guia rápido. Um passo a passo objetivo com as fases para adequar o seu negócio às novas regras da Lei Geral de Proteção de Dados Pessoais.
Vamos lá!
Nenhum projeto, de qualquer natureza, inicia-se sem um apropriado processo de PLANEJAMENTO.
Antes, portanto, de sair alterando contratos, mudando processos, ajustando procedimentos, entrevistando áreas e muito mais, é substancial preparar a organização, para o processo de implementação da LGPD.
A liderança então deve aproveitar essa fase para apresentar os responsáveis pelo projeto de adequação (provavelmente o DPO ou Compliance Officer), estreitar laços de confiança com seus colaboradores e preparar, técnica e operacionalmente, suas áreas para as próximas fases que virão.
Lembre-se que o tempo e energia disponibilizados para a preparação, por maiores que sejam, sempre serão menores do que os gastos para correção de problemas não identificados por falta de planejamento.
No planejamento também é a hora de definir objetivos, táticas, prazos e as métricas futuras para avaliação. Aqui também, pode-se definir se serão adotadas técnicas ágeis de implementação, como o scrum, kanban ou lean.
A próxima fase do processo de adequação é o DIAGNÓSTICO.
Nesta fase, à exceção de organizações com áreas de Jurídico e Compliance robustas e bem estruturadas, a larga maioria das empresas buscam parceiros externos especializados para auxiliar nos processos de diagnóstico e de estruturação do programa de governança e proteção de dados.
É importante aqui que tanto o DPO como os parceiros externos tenham uma visão clara sobre todas as áreas do negócio e da operação. É importante que os responsáveis pela adequação tenham proximidade e capilaridade dentro da organização para escanear de forma efetiva todos os processos, procedimentos e operações, assim, o programa de adequação poderá ser implementado de forma muito mais ágil e eficiente.
Com o diagnóstico, é possível identificar de forma prévia (ainda em um grau bastante genérico) onde, provavelmente, estarão os principais gargalos. Além disso, essa fase é importantíssima para se definir em quais frentes a organização atuará com prioridade [pois muitas vezes o processo de adequação pode levar meses].
Após as fases de Planejamento e Diagnóstico iniciam-se as etapas mais “práticas”. Com o projeto planejado e o diagnóstico em mãos, é hora de se debruçar em cima da operação.
E a primeira fase desta parte mais prática da adequação é o MAPEAMENTO DE PROCESSOS e INVENTÁRIO DE DADOS.
É justamente na fase de Mapeamento de Processos onde ocorrem as tão temidas e difíceis entrevistas entre o DPO e todas as áreas da empresa. Lembrando que é muito importante que todas as áreas das organização sejam analisadas e entrevistadas. É muito comum que o próprio DPO infira por si só que determinada área ou setor não trata dados pessoais e, para economizar tempo e energia, acabe deixando de conduzir as análises nesses setores. Isso pode ser muito perigoso!
Os piores riscos, em Compliance e Governança de Dados, são aqueles que não se conhece
Outra dificuldade que o DPO precisará transpor é, por vezes, o desconhecimento da própria área analisada sobre seus processos, ou mesmo sobre a coleta e tratamento de dados pessoais. Além disso, como em processos de auditoria, é comum que essas áreas queiram “ser livrar do problema” de forma rápida e acabam sendo descuidados na hora de comunicar seus processos ou de transmitir informações.
Assim, mapeados todos os processos da organização é a hora de entender quais desses processos coletam, armazenam ou tratam dados pessoais, onde eles estão e, mais ainda, quais são as categorias, tipos e classificações desses dados.
É nessa fase em que o DPO e a organização passam a ter uma visão clara sobre todos os dados pessoais dos quais são controladores.
Aliás, se quiser contar com uma ferramenta poderosa, fácil de usar e eficiente, CONHEÇA O PRIVACY MANAGER, a solução definitiva para privacidade e proteção de dados. Com ela, você realize o mapeamento de processos, o inventário de dados e a análise de risco com automação, agilidade e segurança.
Mas, bora continuar…
O mais importante no momento de inventariar os dados é ser muito criterioso e detalhista na análise. Hoje em dia os dados podem estar em incontáveis localizações físicas e digitais, armazenados em um arquivo físico ou mesmo em um servidor na Sibéria e, essas informações são essenciais para uma eficiente análise de risco.
Outra situação que não pode passar despercebida relaciona-se com os Operadores de Dados Pessoais. Durante o mapeamento de processos e inventário de dados é esperado que encontrem-se inúmeros operadores dentro da cadeia de gestão dos dados pessoais. Os operadores podem ser de incontáveis tipos e estão em todos os lugares.
Quer um exemplo? Ora, Google, Amazon (AWS), Microsoft, SalesForce, Slack, Microsoft são alguns dos operadores que, provavelmente, qualquer organização pode ter.
Esteja em contato direto com os operadores!
Bom, em retrospectiva foi feito o Planejamento e a preparação para o processo de adequação. Depois, seguiu-se o Diagnóstico para possibilitar uma visão ampla sobre a organização. Então, mapeou-se os processos e inventariou-se todos os dados pessoais concernentes a esses processos.
Chega então o momento da ANÁLISE DE RISCO.
Dentro da fase de análise de risco a principal atividade e método é a gap analysis, ou, análise de gargalos. A gap analysis é a ferramenta que proporcionará ao DPO a noção exata de onde estão os maiores riscos em relação à proteção de dados na empresa. Aqui, identificam-se problemas em processos, procedimentos e lacunas técnico-operacionais sistêmicas que podem levar a problemas de privacidade.
Não se pode esquecer que em relação à Proteção de Dados Pessoais não existe um cenário sem risco. E por isso, o mapeamento de todos os riscos e o entendimento dos seus níveis de criticidade é substancial para, primeiro, adequar os processos e, segundo, para a construção de ações de combate e mitigação aos danos.
Após todo o procedimento de análise de risco é quando pode-se emitir pela primeira vez o tão famoso Relatório de Impacto de Proteção de Dados, o RIPD. Esse relatório é previsto na própria LGPD e tem papel fundamental nos processos de análise e defesa de possíveis descumprimentos da legislação. Por isso, é importante que o RIPD seja sempre feito por profissional qualificado.
Após todo esse caminho, chega uma importante etapa do processo, e que muitas vezes é subjugado pelas próprias organizações, os AJUSTES PROCESSUAIS E CONTRATUAIS.
Obviamente, toda a jornada até aqui deve levar a organização a entender que processos, políticas, procedimentos, operações e contratos precisam ser ajustados.
Algumas empresas acabam conduzindo processos muito “rasos” e utilizando modelos padronizados, principalmente em cláusulas contratuais. Isso pode funcionar em alguns casos, mas a probabilidade de não atender à complexa e diversa gama de relacionamentos comerciais é grande.
Cada negócio tem uma particularidade e cada relação comercial também. Por tal, é fundamental uma análise minuciosa dos contratos da organização e a condução de ajustes customizados, evitando assim, possíveis riscos ou brechas.
Por fim, chegamos à última etapa geral do processo de adequação que é o MONITORAMENTO.
Nesse momento se constroem, desenvolvem e se consolidam os processos de monitoramento contínuo do atendimento à LGPD e da Política de Governança de Dados da organização. Aqui o DPO já pode disponibilizar o seu tempo nas rotina diárias de proteção de dados, como o atendimento aos titulares e a gestão de consentimentos, harmonizados, obviamente, com o monitoramento da privacidade e proteção de dados.
Importante ressaltar que a LGPD é apenas um dos mecanismos de controle desse macro-espectro que podemos chamar de Proteção de Dados. Sendo assim, as organizações devem estar sempre atentas não só à sua aderência àquela norma, mas aos demais mecanismos regulatórios e jurídicos também.
Ressaltamos que o presente artigo buscou elencar de forma sintética os passos gerais para adequação à Lei Geral de Proteção de Dados. O cenário utilizado pode ou não ser relevante para a sua organização, bem como, podem ser necessários processos distintos dos citados aqui.
Destarte, consulte sempre especialistas para a condução dos processos de adequação à LGPD e de Governança de Dados Pessoais.
