Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 1. Fase 1: Preparação - II – Data Protection Management System (Dpms): O Roadmap para o Compliance

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

II – DATA PROTECTION MANAGEMENT SYSTEM (DPMS): O ROADMAP PARA O COMPLIANCE

Claudinei Vieira

Atua como DPO (Data Protection Officer) na Marketdata, uma empresa de soluções em tecnologia, reconhecida pelo know-how em soluções de Data-Driven Creative Services, CRM e Analytics. Trabalhou em empresas de diversos setores, tais como: PwC, Votorantim, Natura, BRF, Braskem, Novartis, Deloitte, VW e GPA, na implementação de programas de compliance, segurança da informação e privacidade de dados. A Marketdata é parte da WPP Group, holding britânica de empresas e agências de publicidade, comunicação e marketing. Considerada uma das maiores agências de publicidade do mundo, possui mais de 3.000 escritórios em 113 países e emprega mais de 205 mil pessoas, com faturamento em 2016 de £ 14,4 bi. Na Marketdata, Claudinei conduz a jornada de adequação à LGPD (Lei Geral de Proteção de Dados), através de frentes de mudanças de processos, tecnologias, políticas, procedimentos e cultura preventiva a riscos de segurança e privacidade. Profissional Graduado em Ciência da Computação pela UNESP. MBA em Inovação pela FIA e certificação internacional Exin Data Protection Officer. Apreciador de cinema, teatro e música brasileira. Mas ama mesmo é brincar com seu filho Flávio, de 8 anos.

Introdução

Mesmo as leis bem ordenadas são impotentes diante dos costumes.

(Nicolau Maquiavel, 1469-1527)

1. O cenário atual do tema privacidade de dados no Brasil

As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frontais, materiais internos não inflamáveis, entre outros itens. Muitos desses não eram, inclusive, itens de série nos veículos de 40 anos atrás, ou não tinham seu uso aplicado em massa. Dentro do contexto da época, alguns desses acessórios eram considerados dispensáveis sob a perspectiva do fabricante e dos proprietários. As estatísticas do trânsito demonstram, hoje, como um dia já subestimamos as questões de segurança.

A economia de dados – e toda a revolução que ela provocou nos últimos dez anos – segue um caminho similar. E essa travessia vem enlouquecendo todo o mercado, de grandes players de tecnologia, passando por telecom, bancos, seguradoras, montadoras, governo, varejo e startups , pois escancara os gaps nas práticas corporativas e na gestão de negócios das empresas, no que tange à privacidade e proteção de dados.

As leis de privacidade são movimentos naturais que surgem para direcionar e trazer o equilíbrio necessário entre inovação e proteção de dados. A necessidade dessas leis é inquestionável. Porém, não há lei que traga sozinha algum resultado efetivo, sem que haja disrupção, que pode surgir na forma como o desenvolvimento de produtos e soluções trata o tema de segurança da informação e privacidade de dados pessoais, hoje. Vale a provocação aqui: uma plataforma ou um app, por mais cool and inspiring que seja, não sobrevive ileso a um vazamento de dados ou abuso no tratamento deles. Privacidade pode não ser relevante no MVP (protótipo) de uma startup, por exemplo, mas será essencial para a ampliação de sua base de clientes e demais titulares de dados.

Os contrapontos das leis de privacidade de dados em todo o mundo (na perspectiva empresas vs titulares de dados):

Prós

Contras

• Reduz casos de vazamento de dados;

• No caso de ocorrência de vazamento, estabelece responsabilidades claras das empresas;

• Custo excessivo de compliance com as leis de privacidade;

• Oposição à inovação;

• Legitima o tratamento de dados por parte das empresas, trazendo maior segurança jurídica.

• Reduz prejuízos ao titular de dados;

• Regula o mercado de venda e compra de dados;

• Garante sustentabilidade à inovação;

• Gera oportunidade de maior engajamento de clientes e consumidores;

• Traz maior confiança nas marcas;

• Depuração do mercado de dados – tende a reduzir determinadas práticas criminosas de comercialização de dados.

• Por ser nova, a lei não tem ainda jurisprudência consolidada para determinadas questões;

• A ausência de uma agência reguladora efetivamente formada e atuante gera instabilidade jurídica.

Fonte: elaborada pelo autor.

As seguintes premissas serão consideradas ao longo dessa fase de preparação:

• Foco no risco do negócio;

• Simplificação;

• Foco na mudança de cultura;

• Custo de compliance balanceado;

• Maximização do uso de tecnologia como indutor das mudanças.

As seções deste capítulo buscam orientar as empresas e seus profissionais na condução de implementação do Programa, tendo como base as premissas anteriores.

A minha experiência de 20 anos atuando e assessorando empresas de grande e médio porte a implementar programas de compliance , segurança da informação e controles internos demonstra que falhar em algum desses componentes pode ser dispendioso, não efetivo e, em alguns casos, pode colocar em risco a sustentabilidade da operação da empresa.

Este capítulo é uma convocação para a ação. Apresenta um roadmap para implementação do Programa de Privacidade e Proteção de Dados, com adequada articulação entre diversas áreas da empresa. Assim, mãos à obra!

2. Sistema de Gestão do Programa de Privacidade e Proteção de Dados (DPMS)

Dado que o tema de privacidade é complexo e abrangente, e que envolve diversas áreas de negócio, pessoas e parceiros em uma empresa, faz-se necessário desenhar a implementação considerando-a como um Programa de Privacidade e Proteção de Dados (Data Protection Management System – DPMS). O Programa será composto de diversas frentes e projetos, que têm como objetivo implementar:

• Estratégia;

• Governança;

• Políticas e procedimentos;

• Ferramentas;

• Gestão da Mudança – Conscientização, Treinamento.

3. DPMS e a fase de preparação

O objetivo dessa fase de preparação é entender efetivamente o cenário atual da empresa em relação aos requisitos de privacidade e proteção de dados e, ao final, estabelecer governança, responsabilidades e um plano de ação para endereçamento dos riscos identificados.

A seguir, apresentamos as etapas contempladas nessa fase de preparação:

Fonte : elaborada pelo autor.

A execução deve ser conduzida pelo DPO, o qual deve buscar, junto ao Comitê, o compromisso das áreas de negócio para participação ativa e contribuição produtiva em entrevistas e workshops . Caso a empresa não tenha um DPO nomeado, deve-se indicar um responsável interinamente para atuar nesse papel. Esse profissional deve saber articular as interações entre o Comitê, segurança da informação, jurídico, compliance , áreas de negócio e TI.

Determinadas questões de privacidade no contexto corporativo de uma empresa são complexas e cruzam diversas áreas de negócio. O formato de workshops , com a participação das principais áreas envolvidas, é fortemente recomendável. Nesse formato, a exposição e o confronto da interpretação do cenário atual, pontos de vista e opiniões é benéfico para a convergência e estabelecimento das ações necessárias, de forma realista e transparente. Após os workshops , a realização de reuniões individuais ou específicas será necessária para maior detalhamento ou alinhamento.

Todas as entrevistas e workshops devem ser preparados previamente, e podem abordar temas instigantes, tais como: legítimo interesse, consentimento, conceito de dado pessoal, compra de dados do mercado e compartilhamento de dados, entre outros assuntos do universo de privacidade. Compile as informações e prepare-se para enfrentar questionamentos – naturalmente calorosos – sobre esses temas. As discussões devem ser conduzidas pelo DPO em conjunto com os demais especialistas. Durante os workshops e entrevistas, provocações inteligentes devem ser aplicadas, de forma a tirar todos de suas zonas de conforto. O cenário atual e o futuro devem ser discutidos apropriadamente para que todos os participantes estejam na mesma página.

Não estacione em grandes discussões teóricas e subjetivas. Vendo que o tema se arrasta, capture o essencial discutido sobre o tema e dê um passo adiante. Como LGPD é um tema recente, existem pontos ainda nebulosos. Nos próximos workshops , traga mais teoria, subsídios, argumentos e números para suportar a discussão. O papel do jurídico é essencial, nesse momento, para dar um tom objetivo para as abordagens sobre os aspectos legais.

Recomenda-se, desde já, designar um PMO para o projeto de implementação do Programa de Privacidade e Proteção de Dados. Ele será responsável por conectar os pontos soltos e tracionar o projeto de acordo com as ações e atividades definidas, cobrando o cumprimento dos prazos e a qualidade exigidos por implementações desse calibre. Lembre-se: em diversas etapas do Programa, teremos dezenas de envolvidos. Gestão de projeto é primordial para não deixar a orquestra desafinar. Caso a empresa trabalhe com metodologias ágeis, estabeleça adequadamente os sprints e squads para as entregas parciais do Programa. Milestones definidos e entregues com qualidade são chaves para o sucesso desse projeto.

Na próxima seção, detalhamos uma forma de como executar a mobilização inicial da jornada de implementação do Programa de Privacidade e Proteção de Dados em sua empresa.

Paralelismo das etapas

A depender da estrutura de sua empresa, tempo dos profissionais e investimento disponíveis, alternativas são factíveis explorando maior paralelismo entre as etapas. Segue um comparativo entre dois cenários:

Cenário 1

Fonte : elaborada pelo autor.

Esse cenário se caracteriza por pouco paralelismo e foco nas entregas parciais em grandes blocos. Uma boa opção para empresas que têm como cultura a implementação de projetos nessa linha, ou tenham restrição de custo ou recursos no paralelismo.

Cenário 2

Fonte : elaborada pelo autor.

Dada a complexidade de execução do Inventário de Dados (Etapa 4) e da implementação da governança do Programa (Etapa 5), pode-se optar por paralelizá-las com a elaboração do Diagnóstico Detalhado (Etapa 3). Isso demandará cautela na elaboração do cronograma – devido às atividades que são pré-requisitos para alguns entregáveis – e a necessidade de se estabelecer mais recursos e investimento em determinados períodos.

A etapa 2 (Conduzir uma avaliação inicial de privacidade) deve ser executada sem paralelismo. Essa avaliação inicial do cenário atual de privacidade e proteção de dados é essencial. Queimar a largada aqui, ou perder o foco, pode prejudicar a evolução das próximas etapas. Cuidado!

Etapa 1 – Mobilização inicial

Fonte : elaborada pelo autor.

1. Estabelecer escopo do trabalho

Devem ser consideradas no escopo todas as áreas de negócio que tratam dados pessoais: que coletam, armazenam, processam, transferem ou recebem dados pessoais de titulares de dados – clientes, consumidores, prospects , funcionários, candidatos a vagas de emprego, parceiros e fornecedores. Esse escopo será mais adiante refinado e ajustado. Porém, é importante, desde já, uma visão clara desse macrocontexto e do escopo do Programa.

2. Simplifique o início da jornada

Tomemos pé da situação atual do tema de privacidade de dados pessoais no Brasil:

LGPD é recente, bem como a GDPR na Europa – estamos falando de três anos em que o tema privacidade começou a fervilhar;

• Período de adequação da LGPD – agosto de 2018 a agosto de 2020 – até onde podem ir as empresas com o objetivo de se adequar a essa mesma lei?;

• Há uma percepção por parte do C-Level de que já há um bom nível de discussão jurídica sobre o tema, porém pouca ação efetiva de implementação. Por onde começar?;

• No contexto mundial, a União Europeia promulgou a GDPR, sua lei de proteção de dados em maio de 2018. Em seu primeiro ano de aplicação, a avaliação que se tem é que as agências reguladoras de lá pegaram leve com as empresas e os infratores;

• Ausência de uma agência reguladora – Autoridade Nacional de Proteção de Dados (ANPD) no Brasil que dê as principais diretrizes para as empresas;

• Um sentimento geral dos empresários de incômodo com o excesso de regulação;

• Somado ao contexto macroeconômico atual, as empresas têm pouco para investir e, por outro lado, estão ávidas por dados de seus clientes, visando às vendas, rentabilidade e marketshare;

• Muitas empresas ainda com estratégia “quanto mais dados melhor” – armazenando dados que estão muito além da real finalidade para o seu negócio;

• Com exceção dos bancos, cartões e meios de pagamentos, o investimento em segurança da informação ainda é fraco diante do risco existente;

• Alguns conselhos de administração de empresas colocam o tema de segurança da informação e privacidade como uma pauta relevante, porém pecam na implementação e nas ações de mitigação dos riscos;

• Muitos executivos ainda estão no modo “será que essa lei vai pegar?”;

• As empresas de setores regulados, tais como bancos, seguradoras, energia, saúde, têm ainda como referência para todo o tema regulatório as agências setoriais. Qual o poder da Autoridade Nacional de Proteção de Dados (ANPD) de fiscalizar e penalizá-las em caso de não compliance?

Nesse contexto nebuloso, qual a dica? Simplifique. Sim. Comece por:

a) Definir um responsável – empodere esses executivos ou profissionais e estabeleça metas para eles e os demais corresponsáveis;

b) Faça uma avaliação inicial do seu cenário de privacidade;

c) Realize um inventário decente dos dados de sua empresa;

d) Apresente o resultado da avaliação e do inventário para o Comitê Executivo de Privacidade e Proteção de Dados. Com números e fatos você terá um arsenal …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
19 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026525/capitulo-1-fase-1-preparacao-ii-data-protection-management-system-dpms-o-roadmap-para-o-compliance