Temas Atuais de Proteção de Dados - Ed. 2020

Capítulo 17. Complexidades na Implementação da Lgpd em Multinacionais

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

GUSTAVO CORRÊA GODINHO

Gerente Jurídico e do Programa de Adequação à LGPD em Multinacional. Formado pela UNIFMU. Membro da IAPP | LGPD ACADÊMICO | JURTECH. Coordenador de Eventos e Parcerias do JURÍDICO SEM GRAVATA. Palestrante no tema de Privacidade e Proteção de Dados. Entusiasta em tecnologia.

1. Introdução

Quem disse que seria fácil, se enganou tremendamente!

Para ser um profissional completo, além de conhecer o texto da Lei Geral de Proteção de Dados Pessoais 1 - LGPD (Lei nº 13.709/2018) de “cabo a rabo”, você precisa também ser curioso, irresignado, destemido e determinado.

Conhecer também sobre a General Data Protection Regulation (GDPR) é ponto pacífico. Não esqueça da antiga Diretiva (95/46), dos recitals, WP’s (working parties) etc.

Além disso, você só vai ganhar pontos se também souber algo sobre CCPA, PIPEDA, HIPAA. Vários acrônimos, não?

Além deles, você também vai se deparar com outros neste capítulo, neste livro e, certamente, em sua vida acadêmico-profissional. Posso citar alguns por aqui: ANPD, BCR,CNIL, DPA, DPO, DPIA, EDPB, ICO, IoT, ISO,LIA, NISTPCI-DSS, PIA, ROPA, e tantos outros (a grande maioria em inglês).

Apesar do meu background jurídico, sempre tive uma “queda” por tecnologia.

Essa “queda” virou amor quando deixei o último escritório de advocacia em que trabalhei e migrei para o jurídico de uma empresa de tecnologia em 2007. Termos como hosting, colocation, full outsourcing, business process outsourcing (“BPO”), business process management (“BPM”), links (de dados e de voz), SFTP, SCM, RENPAC 2 da EMBRATEL e SPPAC da TELESP/TELEFÔNICA (esses aqui, provavelmente, você tem que ter mais de 40 anos para conhecer) passaram a fazer parte do meu dia a dia. Olhos brilhavam à época (e brilham até hoje)! Inclusive, em rápida pesquisa pela internet, encontrei uma ilustração 3 que caracteriza o RENPAC e SPPAC.

Do Full Outsourcing passei para Internet, Meios de Pagamento, Jogos, Serviços Online, Streaming, Aplicativos, Modelos Estatístico, Escore de Dados, Fraudes Online etc. Nessa época, a primeira consulta pública sobre proteção de dados no Brasil (2010) e o respectivo primeiro projeto de lei que tratava sobre o assunto já existia (2012). Já era efetuada a coleta e o armazenamento de dados e cookies, já eram escritas versões de termos de uso e política de privacidade.

Em 2014, o Marco Civil da Internet (MCI) foi sancionado e respectivo decreto regulamentador veio na sequência (2016) e, desde então, eu já estava apaixonado pelo assunto. Edward Snowden, o episódio do vazamento de dados de nossa ex-presidente Dilma Rousseff, OCDE 4 e, não menos importante, o escândalo que envolveu a gigante Facebook e Cambridge Analytica 5 foram os responsáveis por fazer o assunto andar no Brasil.

Em 2018, com o sancionamento da LGPD (não vou entrar no mérito dos trâmites e burocracias legislativos), já não dava mais para fugir. Com o Brasil inserido no mapa mundial da privacidade/proteção de dados 6 e, pelo fato do assunto já fazer parte do meu dia a dia, consegui (com bastante insistência) cativar a atenção de alguns dentro de onde trabalho para, junto com um par de SI (Segurança da Informação), tocar o programa de adequação à LGPD dentro da empresa multinacional em que trabalho.

Aviso: isto aqui foi, é e continuará sendo um “live MBA”!

Vou dividir com vocês um pouco do que venho vivenciando como PMO deste projeto. Mas, friso, não teria como aqui trazer tudo o que aconteceu. Além de ser humanamente impossível em razão de diversas questões, entre elas a confidencialidade de alguns pontos do Programa e de informações consideradas sensíveis e sigilosas pela companhia, não haveria tempo para redigir e/ou espaço/possibilidade de inserção neste artigo para tanto. Mas não posso deixar de registrar um ponto.

Chamo o que estou gerenciando de “programa” ou “jornada” e não de “projeto”. Pois, o projeto tem começo, meio e fim. Já o programa ou a jornada é algo cíclico (vide ilustração 7 resumida a seguir) que continua, se renova e perdura.

E essa é a ideia principal. A preocupação e, consequentemente, a governança sobre dados não acabam com a entrega do programa ou com o início da vigência, no caso, da LGPD. Tem muita coisa a acontecer.

Vamos lá?

2. Estruturação e faseamento de seu Programa de Adequação

Já começo afirmando que não há “receita de bolo da vovó”, como gosta de mencionar sempre em suas palestras o amigo e “fera” no assunto, Gustavo Artese, quando se fala em estruturação e definição de um programa de adequação.

Um plano para o programa pode ser estruturado de várias formas e com diversas fases. Já vi planos divididos em 6 fases.

Particularmente, acredito pelo que pude (i) conversar com outros profissionais; (ii) entender como outras empresas estavam se organizando e, pelo fato de fazer parte de um grupo empresarial que atua globalmente; (iii) buscar como o pessoal da Europa estava se organizando, cheguei à conclusão de que um programa dividido em três fases está mais do que suficiente. Segue abaixo uma sugestão de estruturação:

Fase 1:

• Definir projeto e PMO;

• Workshop com Stakeholders;

• Entrevistas/Data Mapping/Assessment;

• Revisar produtos, serviços e respostas do Data Mapping;

• Identificar políticas/contratos;

• Definir bases legais para tipos de tratamento;

• Executar PIA/DPIA /LIA;

Compliance roadmap.

Fase 2:

• Plano de trabalho de acordo com roadmap;

• Endereçar issues/riscos encontrados (e dividi-los em planos de ação);

• Definir e formular procedimentos padrão;

• Realizar assessment em fornecedores/parceiros/subsidiárias;

• Realizar treinamentos;

• Definir governança de proteção de dados;

• Obter possíveis certificações (ISO, PCI etc.).

Fase 3:

• Implementar políticas e procedimentos;

• Realizar novos assessments;

• Implementar processo de pedidos de acesso aos dados dos titulares;

• Automatizar processos específicos, de acordo com possíveis demandas;

• Gerar melhoria contínua.

Uma observação. Não incluí aqui a escolha e definição do DPO, pois ela pode acontecer em qualquer das 3 fases do programa a qual sugeri. Pontos como tamanho da empresa, atuação, forma como lida e trata dados são pontos a considerar no momento em que a decisão for tomada por cada empresa. Todavia, como ainda não foi escolhida a pessoa, grupo de pessoas ou a terceirização via DPOaaS (DPO as a service), tomo a liberdade de deixar para tratar esse ponto em uma outra oportunidade. Se quiser entender um pouco mais o papel do DPO, sugiro a leitura de texto 8 dos experts Bruno Bioni e Renato Monteiro.

Vale ressaltar, para finalizar este tópico, que essa mesma divisão de fases pode te ajudar na (i) cotação de profissionais e consultorias para te apoiar em cada fase de seu programa; (ii) na definição de valores mais próximos da realidade visando a incluí-los no orçamento de sua área/empresa; e a (iii) diminuir as possibilidades de pleitear por valores extra budget durante o curso do seu programa.

3. Convencimento da alta direção e conscientização dos colaboradores da empresa

A conscientização de todos de uma empresa, com relação à LGPD e seu respectivo programa de adequação, deve ocorrer pelo amor, não pela dor. O amigo, profissional de ponta e responsável pelo convite para escrever o presente capítulo, Felipe Palhares, também compactua com este sentimento e, em um artigo 9 escrito para o JOTA, tece seus comentários de forma cirúrgica sobre o lado positivo da LGPD.

É muito mais fácil tentar ser convencido pelas sanções, multas, que podem chegar a 2% (dois por cento) do faturamento bruto da empresa ou de seu grupo econômico, limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) por ato infracional, isso sem contar em possíveis danos reputacionais imensuráveis e incalculáveis neste momento inicial. Como exemplo sobre como um problema dessa magnitude pode perdurar, relembrem do caso da Yahoo, onde, mesmo depois de mais de 6 anos do ocorrido, ainda a empresa vivenciava problemas e prejuízos por conta dos percalços relacionados aos vazamentos de dados pessoais em que foi envolvida 10 .

Mas esse não é o ponto.

Inicialmente, o...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
19 de Janeiro de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548527/capitulo-17-complexidades-na-implementacao-da-lgpd-em-multinacionais-temas-atuais-de-protecao-de-dados-ed-2020