Por que o apoio da liderança e o engajamento de todas as áreas é fundamental para evitar os riscos e penalidades previstos na legislação que busca mais vigor na privacidade de dados pessoais?
Em agosto de 2020 entra em vigor a Lei Geral de Proteção de Dados (13.709/18), que estabelece direitos, deveres e princípios que envolvem o tratamento de dados pessoais de consumidores e usuários de serviços.
A nova legislação faz com que as empresas brasileiras revejam seus modus operandi e adotem novas estratégias para se adequarem aos rigores da lei. Para tal, elas têm investido na criação de comitês especializados que envolvem todas as áreas: recursos humanos, departamento jurídico, financeiro e tecnologia. “Trata-se, sobretudo, de uma mudança cultural onde é fundamental que todos os colaboradores envolvidos entendam que se trata de um projeto da empresa, e não de uma área específica, como seria a de Compliance, por exemplo. E essa consciência deve partir da alta diretoria e se estender a todos os níveis hierárquicos da empresa”, explica a Sócia fundadora da Lec e do Gonsales e Cho Advogados Associados, Alessandra Gonsales.
Segundo Alessandra, a maioria das empresas com as quais tem contato ainda está na fase inicial, de avaliação de riscos e de mapeamento, e sabem que é projeto que leva tempo até ter sua estrutura completamente formada e em operação. “Empresas com base forte com a União Europeia já estão mais adiantadas por conta das relações comerciais já estabelecidas, pois muitas delas já são obrigadas a comprovar que tem um programa de privacidade de dados”, diz. “Além disso, a transparência deve permear as relações comerciais e que se uma empresa precisa coletar dados pessoais, sendo muitos críticos e até sensíveis, precisa mostrar a forma e o nível de segurança como vai fazê-lo”, complementa.
Para a advogada, o mercado está se mobilizando com o mesmo comprometimento visto quando da sanção da Lei Anticorrupção, que incentivou a adoção de programas de Compliance pelas empresas. “Nesse caso, a LGPD tem uma relação mais direta do que o programa de anticorrupção, pois quem está na ponta é o consumidor final, diretamente impactado no caso de vazamento de dados pessoais”, explica Alessandra.
Já a sócia da Tae Cho Advogados, Tae Young Cho, acredita que algumas empresas ainda estão aguardando “as cenas dos próximos capítulos”, como enfatiza. “Algumas empresas já estão a pleno vapor na implementação dos requisitos da LGPD, enquanto outras ainda estão em compasso de espera pelo fato de que ainda não temos a indicação dos diretores que comporão a Autoridade Nacional de Proteção de Dados (ANPD), pela ausência de regulamentação de algumas normas da LGPD, pelo custo de implementação, e, por vezes, na esperança de que, como tudo no Brasil, haverá uma nova prorrogação de prazo”, diz.
No entanto, Tae lembra que seja qual for o fundamento para não iniciar a jornada, é inconteste que a LGPD é um caminho sem volta e requer-se tempo para implantar os seus requisitos. “Além de se tratar de uma lei que quebra o paradigma de que os dados pessoais e sensíveis não pertencem às empresas que os coletam, mas sim somente aos seus titulares, os requisitos de privacidade e de direitos do titular, contidos na LGPD, obrigam as empresas a adequar seus fluxos de negócios e estabelecer novos controles e procedimentos”, explica. “Muitas empresas dos setores financeiro, comércio eletrônico, tecnologia da informação, de saúde e de telefonia, já entenderam a importância e estão trilhando a jornada de implementação dos requisitos da LGPD. É de se notar que muitas associações representativas desses setores já estão divulgando playbooks ou orientações de boas práticas de privacidade, com o intuito de uniformizar o entendimento sobre os requisitos mínimos para estar em conformidade com a LGPD até agosto de 2020”, afirma.
Com base na LGPD, entre os pilares com as quais a empresa deve se preocupar em construir estão a Governança da Privacidade, Vazamento e Segurança de Dados, Privacy by Design, DPIA, Consentimento e Aviso de Privacidade, Direitos do Titular, Gestão de Terceiros, Histórico de Tratamento, Minimização e Retenção de Dados. Ou seja, não se trata de um projeto em que basta ter conhecimento de TI ou de segurança de dados, mas que, além disso, requer conhecimento jurídico, dos fluxos de negócios, procedimentos e gestão de riscos de Compliance.
Assim como Alessandra, Tae ratifica a importância da participação de representantes de todas essas áreas da empresa durante a fase de implementação. “O engajamento da alta direção da empresa é muito importante, mas, sozinho, não garante o sucesso na implementação. É fundamental o engajamento da alta direção aliado (ao de representantes das áreas impactadas pela LGPD) para criar um ambiente de colaboração e de mudança de cultura na empresa, porque é disso, também, que se trata a implantação da LGPD”, ressalta.
Por onde começar
De acordo com levantamento realizado pela Serasa Experian, 85% dos empreendimentos entrevistados disseram que ainda não conseguem garantir todas as obrigações da Lei Geral de Proteção de Dados (LGPD). Ou seja, grande parte das empresas brasileiras não está preparada para lidar com todas as exigências e há ainda as que apostam na prorrogação desse prazo.
Devido à complexidade de adequações, que valem tanto para grandes companhias quanto para pequenas empresas, é necessário correr contra o tempo para ficar em Compliance com as regras, principalmente no que tange a necessidade de mapeamento e revisão de processos, atualização de soluções tecnológicas, melhoria da governança dos dados pessoais e mudança de cultura. Há uma necessidade muito grande de investir no pilar de capacitação das equipes, até porque a lei traz exigências para uma nova função que é a do Encarregado (DPO), previsto nos artigos 5º. e 41.
“O maior desafio neste momento é o de entender o diagnóstico atual, ou seja, ter um cenário real e consistente de Gap Analysis para poder então focar na priorização da execução do Plano de Ação, sabendo quais as medidas mais urgentes que precisam ser realizadas até a entrada em vigor em agosto de 2020 e o que pode depois continuar a ser feito, pois é uma Lei de partida e não de chegada, vai precisar haver manutenção da conformidade”, explica a sócia e Head de Direito Digital da PG Advogados, Patrícia Peck. “No caso do Regulamento Europeu de Proteção de Dados Pessoais (GDPR) as maiores multas passaram a ser aplicadas após um ano da entrada em vigor, por exemplo, pois as instituições tendem a investir em inovação e os novos projetos precisam observar o princípio do privacy by design”, lembra Patrícia.
As preocupações devem focar primeiro no que sejam dados pessoais de consumidores e de funcionários (que trazem mais risco no tratamento e mais consequências danosas no caso de vazamento), e, já na sequência, lançar a campanha educativa de proteção de dados pessoais, preparar o ambiente para atender ao direitos dos titulares previsto pelo artigo 18 da LGPD e buscar definir quem será o DPO. Além disso, trazer soluções tecnológicas e controles de segurança que permitam fazer a gestão dos logs de consentimento e proteger mais as bases de dados pessoais, observando que contratos de cloud, uso de recursos de mobilidade, bem como a aplicação de modelos de analytics, score, inteligência artificial e reconhecimento facial ou outros modelos com biometria, devem ser analisados o quanto antes, pois a lei gera impacto sobre o uso destas tecnologias.
Para Tae, a partir do momento da definição e criação de um Programa de Privacidade, a recomendação é que se tenha uma área que seja o “sponsor” do projeto de implantação da LGPD, por exemplo, Jurídico ou Compliance, que lidere as discussões e que na empresa seja responsável pela implantação/adequação de políticas. “Um time de implantação com a participação de membros das áreas de Compliance, TI, segurança e governança de dados, jurídico, recursos humanos, das áreas corporativa e de negócios que tratem dados pessoais ou sensíveis (gestão de terceiros, atendimento ao cliente, marketing, vendas, produtos, data analytics, compras/suprimentos/procurement, segurança patrimonial, etc.) faz toda a diferença no resultado final”, diz Tae. “E ainda, que exista um PMO que possa acompanhar as atividades e o cronograma de implantação junto ao sponsor do projeto”, ressalta.
Vale ressaltar que a aplicação da LGPD não se limita a dados eletrônicos, mas abrange dados pessoais ou sensíveis que foram coletados e armazenados em meio físico. Portanto, o envolvimento da área de segurança patrimonial também é relevante. É importante mencionar que cada vez mais o Brasil caminha para o tratamento massivo de dados, coletados e armazenados de forma eletrônica. Por essa razão, especialistas no assunto são unânimes em afirmar que a jornada de implantação da LGPD requer uma sintonia entre as áreas de TI e Compliance dentro de uma empresa para que os resultados apareçam, de fato.
As disposições da LGPD exigem que as empresas ajustem ou introduzam um novo nível de proteção de privacidade e, portanto, de segurança de dados pessoais e sensíveis.
À TI caberá promover os ajustes nos sistemas existentes e garantir a implementação e manutenção de ferramentas de controle tecnológico do mapa e do ciclo dos dados, bem como da gestão de privacidade, cujos parâmetros serão acompanhados pela área de Compliance. De fato, o risk assessment e eventual investigação de violação às normas das LGPD serão facilitados e, por vezes, viabilizados pela existência de ferramentas tecnológicas.
“A LGPD, além de ser uma nova lei que traz novos parâmetros que obrigam as empresas a elevar o nível de proteção e segurança de dados, também se reflete no aumento do nível de Compliance sobre as atividades de tratamento e armazenamento de dados. Portanto, a área de Compliance também deverá revisar e ajustar seus fluxos e procedimentos para acompanhar e assegurar o cumprimento das disposições da LGPD”, lembra a sócia da Tae Cho Advogados. “Aqueles que conseguirem se familiarizar com as novas tecnologias que serão fomentadas pela LGPD, com certeza, sairão frente, porque a demanda por profissionais que tenham as habilidades para compreender e executar as atividades requeridas pela lei é fato concreto”, conclui.
Fato é que por ser uma regulamentação híbrida, exige conhecimentos multidisciplinares, tanto técnicos (relacionados à governança de dados e de segurança da informação) quanto jurídicos (para definir as prioridades, realizar a atualização documental e apoiar na resposta a incidentes). Por isso, é preciso que envolva vários departamentos, sensibilize todas as áreas envolvidas, para que sejam executadas as implementações que precisam estar priorizadas dentro da metodologia de análise de riscos e impactos e, por fim, prepare a continuidade do processo. “Para fazer a gestão e permitir aplicar um modelo PDCA (ferramenta de gestão para a melhoria de processos) para aprendizagem e manutenção das atualizações futuras conforme a evolução do negócio”, lembra Patrícia.
Próximos passos
Os requisitos mínimos de privacidade e proteção de dados estão claros, o que permite às corporações construírem os pilares de um Programa de Privacidade. No entanto, muito embora a LGPD tenha sido aprovada pelo Poder Legislativo – e sancionada pelo Poder Executivo –, a não nomeação dos diretores da ANPD cria um ambiente de incerteza e insegurança jurídica.
Alguns órgãos de defesa e proteção do consumidor (SENACON e MP) já estão intimando grandes empresas a apresentar relatórios de dados tratados e de impacto de proteção de dados (DPIA), não obstante a LGPD só entre em vigor em agosto de 2020. Entre as dúvidas que ainda não foram esclarecidas está quem terá o poder fiscalizatório sobre a questão de proteção e privacidade de dados? A resposta a essa questão é fundamental para estabelecer alguns parâmetros para o Programa de Privacidade. “Isso também é um fator que está levando algumas lideranças de empresas a aguardar a nomeação dos diretores para tomar decisões sobre iniciar ou não a implantação dos requisitos da LGPD”, pondera Tae.
Para Patrícia Peck, toda e qualquer regulamentação existe para harmonizar as relações, aumentar o grau de transparência e para fomentar a Livre Economia Digital, estimulando a inovação a partir de regras claras e controles mínimos de segurança para, inclusive, não sofrermos barreiras comerciais com outros países. “São dispositivos para facilitar a atração de investimentos e contribuir com o crescimento econômico do país e as empresas que souberem tomar proveito da conformidade à LGPD podem se diferenciar do ponto de vista reputacional junto aos usuários e isso se tornar inclusive uma vantagem competitiva”, diz.
A sócia do Opice Blum, Advogados, Camilla do Valle Jimene compartilha da mesma opinião e diz ainda que mesmo as empresas que ainda não se deram conta, serão pressionadas pelo próprio mercado, pois clientes, fornecedores, cadeia de suprimentos estão exigindo cada vez mais uma cláusula contratual sobre esse assunto de privacidade de dados. “As empresas que não estiverem preparadas estarão fora do mercado, pois elas precisam se comprometer com a lei de proteção de dados. Quem vai querer negociar com empresas que não dão garantia quanto à proteção de dados?”, questiona. “Proteger as informações não é algo novo, mas era focado para a proteção de informações estratégicas para o negócio, agora com a LGPD, contempla o dado pessoal e a preservação da privacidade”, explica. A executiva pontua, ainda, que há uma movimentação positiva nesse sentido, já que muitas empresas estão focando em campanhas que falam sobre a preservação da privacidade, que cuida dos dados pessoais, ou seja, tratam como um assunto estratégico. “É preciso ter em mente que saber mais dados do seu cliente não é algo ruim, apenas requer cuidados. Quanto mais a empresa tem informação sobre mim, mais me oferecerá serviços customizados, e não há mal nisso. Ao mesmo tempo, quanto mais ele me conhece, mais informação minha ele está custodiando, então quero que ele guarde de forma adequada”, pondera.
Camilla acredita que a utilização de dados com responsabilidade faz com que “tenhamos uma sociedade que funciona melhor, já que podemos ter políticas públicas desenhadas com melhor precisão e eficiência e produtos e serviços muito mais customizados”. “Usar dados pessoais é bom e faz a sociedade funcionar melhor, mas quem custodia precisa ter responsabilidade sobre isso”, finaliza.
O papel da Tecnologia da Informação
De acordo com sócio fundador da XL Solutions, que oferta soluções em tecnologia da informação, Felipe Piazza, existem muitos técnicos com formação em segurança, porém a segurança cibernética necessita de profissionais e de grupos multidisciplinares nas suas tratativas, passando por áreas de conhecimentos como: ética, leis, regulamentação, treinamento, comunicação, entre outras. “A segurança cibernética não passa, única e exclusivamente, por eliminar vulnerabilidades sistêmicas e de infraestrutura, mas também na propagação de conhecimentos técnicos e não técnicos, Compliance de processos e retenção de informação dentre outras atividades”, explica. “Assim como fomos criados para não deixar a porta de casa aberta, não deixar um item de valor desassistido e a não falar com estranhos, precisamos aprender fundamentos semelhantes para a nossa realidade virtual”, afirma Piazza.
A criação de uma equipe multidisciplinar para definição, implementação e disseminação de regras e conhecimento sobre segurança cibernética e LGPD deve incluir, segundo o executivo, itens como: políticas, implementações de anti-virus e restrições nos desktops, nos serviços de e-mail e proxy, nos servidores e rede; políticas automáticas de utilização de equipamentos de tecnologia (computadores, telefones, tablets e etc); estruturas de rede, firewall, WAF e balanceadores que ajudem tanto na prevenção quanto de contenção no caso de um incidente; utilização de criptografia nos dados e políticas de expurgo de dados; criação de monitoramentos capazes de detectar comportamentos anormais; utilização de sistemas e processos de controle de identidade e ciclo de vida de um usuário; utilização de fatores múltiplos de autenticação; contratação de testes de penetração periódicos e, por fim, a utilização de ferramentas de análise de vulnerabilidade em códigos de sistemas. “Vejo o desconhecimento e a falta de comunicação como o maior problema de segurança, assim como o maior ofensor no Compliance de LGPD. É crucial que os profissionais que estão fazendo as definições de novos canais digitais e físicos saibam sobre a LGPD e usem este conhecimento nas implementações de processos e de sistemas”, defende Piazza. “A tecnologia deve ser tanto o elemento que habilita e empoderando as áreas na implementação de uma estratégia que cumpra a LGPD, quanto o responsável pela governança sobre os dados, de forma a garantir que todos os dados tenham uma política clara, pré-definida pela equipe multidisciplinar, de captação, guarda, visualização, utilização e expurgo”, finaliza.
Um ponto de conflito comum dentro de uma empresa entre as áreas se refere à priorização de projetos e quem arcará com os custos de implantação dos requisitos de LGPD. Diante disso, é necessário que exista o engajamento da alta liderança, para que eles definam quais serão os projetos estratégicos da empresa e que deverão ser priorizados pelas áreas. Para tanto, é importante que se destaque um budget específico para o projeto, sem que uma ou outra área sejam oneradas.
Ao lado desses pontos, o ponto de engajamento das áreas de negócios que não são os sponsors do projeto também sempre será uma questão de conflito, pois a tendência é acreditar que os sponsors são os responsáveis pela implantação quando, na verdade, são as próprias áreas de negócios as responsáveis pela disseminação da cultura de privacidade entre seus colaboradores.
Publicado originalmente na revista LEC nº27, ” Aplicações práticas da LGPD “.
Imagem: Freepik
