Quais os principais desafios de um Encarregado de Dados (Data Protection Office) em uma organização? Descrever, de acordo com a sua convicção, como é desempenhar este papel tão importante na empresa, diante do que diz a LGPD
Além do previsto nos artigos 5 e 41 da LGPD, pensando nas atribuições destacadas e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado possui alguns grandes desafios para desempenhar este papel dentro das organizações. Posso afirmar que será impossível este exercer suas funções sem o auxílio da tecnologia, não as tecnologias para monitoração, proteção ou detecção de possíveis incidentes de segurança, mas de ferramentas que efetivamente ajudem na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.
Na minha opinião, o primeiro desafio para o DPO é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, entendendo onde estes dados são armazenados e processados, pois podem estar distribuídos em dados estruturados ou não-estruturados, exigindo tratamentos diferenciados, além de manter o inventário de dados atualizado constantemente, pois os dados processados crescem e se modificam a cada dia.
O outro desafio é diante do volume de dados pessoais que podem ser encontrados nas organizações e como correlacioná-los de uma forma que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra, facilitando o atendimento as demandas do titular e das autoridades, caso contrário, fica quase impossível encontrar os identificadores dos titulares e procura em cada repositório. Agora imagine fazer isto com centenas ou milhares de solicitações e, ainda, consolidar as respostas?
Em resumo, a atuação do encarregado nas empresas precisa ser “combinado” e ajustado com todas às demais áreas, compreendendo que, sozinho, fica impossível desempenhar a atividade de forma correta e segura. O encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, já que, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade regulamentada por uma legislação nova e específica.
Como seria um cronograma ideal de implantação de projeto de adequação à LGPD, de acordo com a sua experiência? Propor, de forma ideal, por onde começa e como desenvolver um projeto de adequação à LGPD, do início ao fim. Se possível, apresentar um “roadmap” para ajudar outros profissionais a enfrentar este desafio.
PASSO 1: MONTAR UM COMITÊ DE PROTEÇÃO DE DADOS
As áreas jurídica, TI, comercial, RH, marketing, financeiro, enfim, qualquer uma que lide com dados, seja online ou offline, será afetada pela LGPD.
A lei determina que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?
O primeiro passo é montar um comitê de proteção de dados com profissionais especializados tanto nos aspectos jurídicos quanto nos diversos setores da empresa que serão afetados pela lei. Ele será responsável pelas avaliações de risco e definição de códigos de conduta conforme as diretrizes da LGPD.
Seu trabalho, basicamente, será garantir que a empresa esteja operando dentro dos requisitos legais e de modo a atender os requisitos da lei, ou seja, a formação do comitê é imprescindível para que os próximos passos sejam permeados em conformidade com a LGPD.
PASSO 2: DEFINIR O ENCARREGADO (DPO)
Com a implantação da LGPD, entra em cena um novo profissional: o Data Protection Officer (DPO), ou Encarregado de Dados. Pela lei, ele é a pessoa física, ou jurídica, que representa o controlador, o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da GDPR, a ocupação é novidade para a grande maioria das empresas brasileiras.
Esse profissional vai exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar, além de um perfil de inter-relacionamento pessoal muito grande, visto que o relacionamento com um universo vasto de pessoas e profissionais se faz necessário.
De acordo com a previsão legal, no § 2o. do artigo 41o., as atividades do DPO são:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações das autoridades legais e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Ou seja: o encarregado é a pessoa responsável por comandar as atividades de proteção de dados dentro da empresa e estar ciente e totalmente integrado com todas e quaisquer informações que tratem os dados pessoais. Contudo, na prática, é cedo para definir totalmente suas atividades, uma vez que a ANPD ainda não foi formada.
Mas, em empresas maiores, muito provavelmente ele será indispensável, e no caso de pessoa jurídica, é possível terceirizar a missão, para o que hoje chamam de DPO as a Service.
PASSO 3: DESENHAR OS PROCESSOS E AVALIAR OS GAPS DA EMPRESA EM RELAÇÃO À PRIVACIDADE DE DADOS
Com o comitê formado e o encarregado nomeado, é hora de olhar criticamente para a empresa e dar o primeiro passo em sua jornada da LGPD.
Com uma ferramenta de data mapping, é possível elaborar os questionários necessários para as áreas da empresa, a fim de se conseguir uma “fotografia” de sua operação.
Algumas perguntas são fundamentais para o questionário, tais como:
- Qual o volume de dados tratados?
- Que tipos de dados estão sendo tratados?
- Quem é o responsável pelos dados?
- Por que os dados foram coletados?
- Qual a razão legal para continuidade do tratamento dos dados?
- Até quando os dados ficarão na base da empresa?
É importante usar o bom senso para fazer perguntas criteriosas e objetivas, a fim de se obter um apanhado preciso do atual estado da empresa em relação à LGPD.
PASSO 4: ADEQUAR OS PROCESSOS PARA QUE ESTEJAM EM COMPLIANCE COM A LGPD
O tratamento dos dados pessoais somente poderá ser realizado nas hipóteses previstas pelo artigo 7º da LGPD, ou seja, ao rever os processos de cada área, é importante embasar corretamente os dados, uma vez que o tratamento deve estar fundamentado na legislação.
Além da finalidade bem definida e a justificativa pela base legal correta, o ciclo de vida do dado também precisa estar claramente definido.
Falando em dados estruturados, este trabalho fica “fácil”, mas e os dados não estruturados?
Bem, os dados não estruturados representam um grande desafio, pois são gerados a partir de diversas fontes (sites, mídias sociais, imagens digitais, vídeos, PDFs, wearables, digitalização de documentos (papel), etc.) e estão, muitas vezes, fragmentados em mais de um arquivo e/ou em mais de um local. O mapeamento destes dados se dará por meio de entrevistas e checklists, ou por meio de plataformas tecnológicas especializadas, por exemplo.
É muito importante a empresa derivar o risco associado a cada atividade tratada desta forma, pois são processos vulneráveis que podem ser foco de vazamento de dados, mas podem ser tratados por meio de ferramentas, por exemplo, de DLP para assegurar que esse tipo de informação não seja vazada, plataformas de discovery de dados, entre outras.
Após o levantamento destes dados e seus processos, precisamos verificar a necessidade da aplicação de processos de criptografia, anonimização, pseudoanonimização, tokenização, etc.
Outro ponto importante a ser analisado são os mais diversos sistemas da empresa.
Recursos em nuvem, ERPs, CRMs, aplicativos são muitas e utilizadas no dia a dia dos colaboradores, em maior ou menor escala, manipulando e armazenando dados. Vale contar com o apoio de um sistema de gerenciamento de privacidade de dados para facilitar o trabalho, uma vez que será preciso realizar um inventário da empresa para que se possa identificar como cada atividade de tratamento de dados é realizada, quais sistemas apoiam tais atividades, quais parceiros e fornecedores participam delas, elencar os riscos associados e, finalmente, definir um ou mais planos de ação para adequar a atividade de tratamento.
PASSO 5: FAZER A MANUTENÇÃO DA PROTEÇÃO DOS DADOS
Para o pleno andamento do projeto e conformidade com a lei, é de suma importância avaliar todos os processos pelo ponto de vista de segurança, infraestrutura quanto a quais medidas deverão ser tomadas para atender às recomendações legais.
Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal papel é avaliar se as atividades de tratamento de dados estão respeitando os princípios da LGPD.
É um esforço coletivo e de responsabilidade de todas às áreas e colaboradores, devendo ser um novo valor para as empresas, respeitado e promovido por todos.
Qual é a melhor abordagem para adequar sua empresa?
Normalmente existem duas abordagens para um projeto de adequação: por sistemas ou por processos.
Para algumas empresas, a abordagem por sistemas podem ser mais eficazes do que por processos; em outras, pode acontecer o contrário. Não existe uma abordagem mais ou menos correta, no entanto, deve-se observar que processos offline, realizados com formulários de papel, não serão capturados na abordagem via sistemas.
Outro ponto fundamental no processo de mapeamento é ter uma ferramenta que permita fazer a gestão e organização de tudo que está sendo coletado, caso contrário as informações podem ser perdidas ou corrompidas e o resultado do trabalho pode não ser o esperado.
Como proceder em caso de fiscalização?
Fiscalização por parte da ANPD só vai ocorrer a partir de maio de 2021, por enquanto, no entanto, sabemos que muitas empresas receberam ofícios de questionamentos por órgãos como o Ministério Público e o Procon. Assim, a recomendação para o caso de uma inspeção é se atentar a cada questionamento e responder dentro do prazo tudo o que for solicitado.
Empresas que já estão caminhando no processo de adequação, terão mais facilidade em responder estes questionamentos, bem como, se posicionar quanto à proteção de dados e segurança da informação, demonstrando, inclusive, o compromisso em atender a nova legislação. Para tanto, uma das ferramentas que auxiliam e dão uma visão constante do ambiente de dados são os relatórios de impactos, que não devem ser deixados de lado.
Quais os principais perigos na implantação de um projeto de adequação à LGPD? Listar, de forma exemplificativa, quais são os problemas enfrentados, tanto técnicos quanto pessoais, na implantação do projeto de LGPD.
Existem muitos problemas que podem acontecer na implantação de um projeto.
Desde meados de 2018, empresas vem se adequando a LGPD das mais diversas formas, com as mais diversas metodologias. O mercado de consultoria jurídica foi o primeiro a ver e entender esta demanda, criando diversas metodologias que, ao longo do tempo, umas se demonstraram tangíveis, outras não.
Para muitas empresas no Brasil, algumas abordagens não vêm funcionando e, portanto, cabe a nós, profissionais de privacidade, apresentarmos alternativas talvez mais viáveis para a realidade de cada uma delas, que, em termos de estrutura corporativa relacionada à privacidade, é muito aquém daquela encontrada mundo afora.
Certamente, não há um único fator de insucesso, mas um conjunto de ações e resultados para que projetos de adequação não saiam conforme o planejado. No entanto, a experiência demonstra que o principal empecilho da metodologia que ainda hoje é vista como padrão de mercado (sendo copiada inclusive em RFP/RFQ) está no fato dela propor que o trabalho inicial seja o mapeamento exaustivo de dados, processos e bases legais, quando este deve representar (sem dúvidas) uma das rotinas de um programa de compliance, portanto já deveria existir na empresa.
Ao colocar o mapeamento na primeira etapa, há grandes chances de cairmos nos seguintes erros, que vão fazer com que o projeto de adequação não evolua com a celeridade necessária ou não entregue aquilo que a empresa espera, gerando a sensação de constante dependência e ajuda externa. Outro fator que impacta muito é a resistência de algumas áreas em atuar com o tema.
Algumas áreas, ou por achar que não é de responsabilidade deles, mas sim de TI e do jurídico, ou por acharem que suas atividades serão dobradas, relutam em contribuir e atuar, de forma mais célere, nas atividades apresentadas, criando, muitas vezes, um mal estar entre os profissionais de proteção de dados e estas áreas.
A falta da indicação dos “responsáveis” pelos dados em cada área também é um problema encontrado, pois estes profissionais serão os braços e olhos dos encarregados na garantia da confiabilidades dos dados e processos.
Além disso, existem outros pontos, como:
- Custo e o tempo, muitas vezes elevados ou fora do perfil da empresa;
- Propósito: mapeamento acaba sendo visto como um fim em si mesmo;
- Continuidade: sensação de estar sem rumo após o levantamento dos gaps;
- Mapeamento já nasce desatualizado e, ainda por cima, é evidência negativa;
- As áreas nunca estarão em conformidade se a estrutura da organização não estiver.
Não há jeito certo ou errado de se adequar à LGPD. As inspirações, recomendações, guias e metodologias são variadas e cada empresa deve optar pelo caminho com melhor potencial de funcionar de acordo com a sua realidade, e os profissionais envolvidos e contratados para estas atividades, devem entender que culturas são diferentes, e precisam ser respeitadas, exigindo um grande de adaptação e inter-relacionamento destes profissionais.
Conclusão: apresente a sua visão pessoal a respeito dos desafios impostos pela LGPD e da sua profissão de DPO, para que possa inspirar outros profissionais a seguir as suas orientações e a sua profissão.
Uma empresa que não cumpre a lei pode ter empecilhos com parceiros e clientes próximos, pois o consumidor final dos produtos e/ou serviços está cada vez mais criterioso, desconfiado das corporações que não contam com boas práticas internas. Além disso, a penalidade mais grave para as empresas é a multa aplicada de acordo com a violação ao que é previsto por lei. Mas, mesmo arcando com a penalidade, não se adequar à LGPD pode trazer outros riscos financeiros, mas principalmente de imagem, pois passará aos seus clientes e parceiros a falta de preocupação e segurança com os dados de cada um.
Se uma empresa não adapta suas práticas ao que é demandado por lei, sua estrutura fica abalada e pode acabar resultando em graves problemas de governança.
É de suma importância buscar parceiros com expertise para apoiar a adequação à LGPD. Afinal, por conta do alto volume de demandas que as empresas têm de lidar, a adaptação acaba tornando-se um processo moroso, caso feito internamente, e a não adequação de forma apropriada, poderá levar muitas destas empresa à falência, seja pela “fuga” de clientes e parceiros, sejam pelos valores aplicados em multas.
Oerton Fernandes