Seguindo a quarta parte da série de artigos sobre LGPD e Inovação, irei abordar nesse texto sobre como funciona a aplicação da Lei Geral de Proteção de Dados.
É muito comum as pessoas perguntarem como funciona uma implementação da Lei Geral de Proteção de Dados em uma empresa. Naturalmente, esse é um cenário novo no país e esse desconhecimento – e insegurança – era esperado pelos especialistas.
Pensando nisso, resolvi dividir em 3 grandes blocos cada projeto, para que todos os envolvidos possam ter uma visão mais prática do que acontece durante uma adequação à LGPD.
Evidentemente, não pretendo esgotar os fluxos dentro de cada grande bloco neste artigo, tampouco fazer parecer que toda empresa terá aplicada a mesma técnica. Trata-se, somente, de um guia elucidativo, para que “a tal adequação” possa ser melhor entendida, acolhida e, aos poucos se torne mais um dos processos necessários à manutenção de qualquer empresa.
Contato inicial
O primeiro contato com o cliente, geralmente, é para aproximação e confiança. Há quem busque o especialista de forma direcionada, sabendo que necessita adequar sua empresa.
No entanto, a grande maioria das empresas desconhece por completo o assunto e, nessa hora, temos o dever de educar o empresário, explanando a respeito da importância de ele manter sua empresa em conformidade com as leis, aplicando boas práticas e seguindo o caminho da ética.
Após o contato inicial, é hora do kick-off com o cliente e sua Diretoria (peças-chave da empresa). Assinado o contrato de adequação, iniciam-se os trabalhos. Cada uma das três grandes etapas do projeto é desenvolvida conforme a necessidade ou a solicitação apresentada por cada cliente. Os projetos podem variar muito em tamanho, tempo de execução e valores.
Primeiro grande bloco – Mapeamento e Diagnóstico
É a famosa “varredura” na empresa: do momento em que o dado entra na empresa, até ele ser eliminado. É feito o levantamento de quais dados a empresa possui, onde estão, de que forma estão sendo guardados, para qual finalidade são utilizados, quem tem acesso etc.
Averígua-se a existência de incidentes e de práticas em desconformidade com as legislações, bem como as normas e medidas de segurança que são utilizadas.
Os contratos são objeto de análise criteriosa e todos sofrerão alterações, sem exceção, pois é absolutamente necessário que se entenda o negócio do cliente, com todos seus processos, para que seja possível implementar um plano que atenda às necessidades observadas durante a fase de mapeamento e diagnóstico.
Ao final desse processo, serão apresentados ao cliente os fluxos dos dados em cada setor, os riscos que ela está correndo e a proposta de adequação.
Segundo grande bloco – Implementação
Esse é o bloco mais longo do processo. É a implementação do projeto de adequação propriamente dito.
Uma nova cultura de manejo dos dados pessoais terá que ser implantada, desde o momento da coleta até o momento de seu descarte. Cada setor terá sua análise e desenvolvimento diferenciados e um dos locais em que há maciça adequação é, por exemplo, o RH. Nele, há um volume de dados pessoais, sensíveis ou não, que precisam ser criteriosamente cuidados. Geralmente, toda a vida de um funcionário está ali, ao alcance de todos e de terceiros.
Para as empresas que não possuem Código de Conduta, Regimento Interno, Política de Segurança da Informação, Política de Privacidade e de Cookies, Política de Coleta, Manutenção e Descarte de Dados, será feito. Às que já os têm, serão complementados. Nesse mesmo caminho, os contratos de trabalho, com fornecedores, terceirizados, clientes, consumidores etc.
Todos os processos serão acompanhados por um responsável por cada setor, pois a cultura de proteção de dados permanecerá sendo aplicada constantemente na empresa, após a implementação. Além disso, se já existir o profissional escolhido para exercer a função de DPO (Data Protection Officer), ele deverá estar presente em todas as etapas. Todos processos e fluxos são validados pelo cliente e o envolvimento da Diretoria é fundamental, pois trata-se de Governança e o exemplo e comportamento, na prática, deve ser notado a partir dos cargos mais altos.
Terceiro grande bloco – Treinamento
Nesse último bloco, haverá o treinamento do pessoal, será entregue material educativo, são feitas reuniões presenciais e/ou online, com o objetivo de que que todos possam entender e acolher essa nova cultura, que fará parte do dia a dia da empresa.
Em alguns casos, há necessidade de treinamentos setoriais, dado o volume de dados tratados e o risco verificado durante o processo. Com esse breve sobrevoo sobre um projeto de implementação da LGPD, pode parecer que se trata de um trabalho rápido e simples, fácil de se encaixar em modelos. No entanto, esse é um grave erro que muitos empresários estão cometendo.
Atrás de uma “solução” rápida para estar em conformidade, sujeitam-se aos leilões que costumam ser feitos quando há um novo serviço sendo oferecido, e acabam contratando profissionais de qualificação e trabalho duvidosos, pelo menor preço.
O resultado dessa escolha não tardará a aparecer. Podem ser as multas dos PROCONS e do Ministério Público do Trabalho, as indenizações fixadas pela Justiça Comum e pela Justiça do Trabalho e, a partir do final de 2022, as sanções da própria LGPD (pesadas e com potencial de complicar muito a vida da empresa).
Espero que tenha conseguido “libertar” vários empresários com essa pitadinha de conhecimento a respeito da nossa legislação de proteção de dados, pois toda informação e educação nos libertam.
Clique aqui para ler a terceira parte da série de artigos sobre LGPD e Inovação