A Lei Geral de Proteção aos Dados - LGPD, Lei nº 13.709 de 14 de agosto de 2018, tem deixado muita gente de orelha em pé e não é por menos. Muito tem se falado principalmente das sanções que vão desde simples advertência à multa de até 2% (dois por cento) do faturamento global do grupo econômico do último exercício descontados os impostos, com o teto de R$50.000.000,00 (cinquenta milhões de reais).... por infração, isso mesmo, por cada infração. O que significa dizer que uma única violação de dados poderá ter e será muito comum isso, mais de uma infração envolvida. Mas neste artigo em particular não pretendo discorrer sobre as questões que envolvem as sanções, nem violações de dados, focarei especificamente nas visões que identifiquei ao me debruçar para estudar a Lei de forma detalhada em todos os seus artigos.
Entendo que há 4 visões bem delineadas e que precisam ser trabalhadas separadamente, mas de forma orquestrada e harmoniosa para que tudo transcorra bem, evitando retrabalhos indesejados e principalmente racionalizando os investimentos nos recursos, a começar pelas consultorias, passando pelas capacitações e finalizando com a contratação das várias soluções.
Vamos às 4 visões que identifiquei
Legal - A primeira visão é a Legal e não poderia ser outra uma vez que esta é o foco da grande maioria dos eventos sobre LGPD que tive oportunidade de participar, e não foram poucos. Nesta questão não estou fazendo nenhuma crítica, ocorre que a grande a maioria dos eventos são desenhados para ter como tema central de discussão exatamente as questões de aspectos jurídicos, e para isso são convidados nomes de referência na área jurídica, permitindo muita discussão sobre esta face da lei e por este motivo, que muito conteúdo seja gerado. Hoje já é possível inclusive encontrar alguns livros disponíveis que abordam a LGPD sob o aspecto legal. Para atendimento neste ponto a empresa deverá optar entre capacitar sua área jurídica quanto às questões de privacidade abordadas na lei ou contratar uma assessoria jurídica paralela especializada já no tema.
Processo - A segunda visão é a de Processo. A LGPD deixa claro que sem adequação aos critérios de privacidade dos processos existentes que tratam de alguma forma dados pessoais e/ou sensíveis, não é possível atendimento pleno aos critérios da lei. Quanto a este ponto muito pouco tem se discutido e a razão para isso em minha opinião é que não há uma solução ou oferta pronta no mercado para atendimento neste quesito. Para revisar os processos são necessários conhecimentos do negócio da empresa e também dos critérios de privacidade preconizados na LGPD, para uma adequação caso-a-caso, ou seja, não há como ter ganho de escala nem receita pronta. Se a empresa tiver uma área interna que cuide de processos, uma saída pode ser a contratação de uma consultoria com foco nas questões de privacidade, selecionar alguns processos chave e transferir o conhecimento para o time interno. Não sendo este o caso, faz-se necessário trazer para o time, ainda que provisoriamente, profissionais que conheçam da atividade da empresa e que também estejam capacitados quanto aos requisitos de privacidade preconizados na legislação.
Tecnologia - A terceira visão é Tecnologia. Neste ponto há de se ter muito cuidado, pois provedores de soluções de TIC das mais variadas se posicionam como aderentes aos requisitos da LGPD. Entendo que sem a utilização das soluções de TIC é impossível o atendimento à lei em sua plenitude, mas somente através do apoio de profissionais sérios e capacitados especificamente na LGPD, se conseguirá realizar o "assessment" ou diagnóstico do ambiente da empresa, para então priorizar quais serão os investimentos que serão efetivados no curto, médio e longo prazo e ainda aqueles que não serão feitos, por se considerar econômica ou tecnicamente inviáveis. Não há solução de "prateleira" que atenda todos os requisitos e necessidades da lei, então é importante ter contar com profissionais sérios e transparentes, que deixem claro quais pontos ficarão descobertos, necessitando aquisição de soluções complementares e ainda apenas condição de aceitação com respectiva monitoração.
Pessoas - A quarta e última visão é de Pessoas. Nesta face da lei enquadro os requisitos de treinamento, capacitação e ainda criação de cultura de privacidade. É o último ponto e embora não pareça, considero o mais importante dos 4, pois não há aspecto legal, processo ou tecnologia que resolva integralmente os problemas decorrentes da falta de treinamento, imperícia ou ainda os riscos de funcionários mal intencionados. A LGPD traz novamente a oportunidade de discutirmos a importância de investirmos no ativo mais importante da organização, as pessoas. Recomendo fortemente que 100% do quadro dos colaboradores da empresa sejam capacitados em cursos ou workshops especializados sobre privacidade. Para os profissionais de TIC que além da capacitação, que se exija as certificações da EXIN.
A EXIN é uma instituição holandesa sem fins lucrativos com foco na capacitação e certificação de pessoas em todo o mundo e é pioneira na oferta de treinamentos e certificações com a temática de privacidade. A EXIN também criou uma trilha com foco na formação do DPO (Data Protection Officer), que na LGPD é o "encarregado", pessoa responsável pelas questões ligadas ao tratamento de dados pessoais e/ou sensíveis, que obrigatoriamente precisa estar listado no site da empresa, constando além do nome, os respectivos meios de contato. Hoje também sou instrutor oficial, habilitado e certificado para entregar os treinamentos da carreira DPO.
Ainda temos pegadinhas como por exemplo a necessidade de implantação de um processo de resposta e incidentes, que também está apontado na LGPD como item obrigatório. O ponto aqui é se consideramos este item como componente do grupo de trabalho de Processo Tecnologia ou Pessoas. Na verdade isso pouco importa, mas que na verdade o processo citado seja implantado. Como citei no início do artigo, as ações são separadas mas devem seguir orquestradas e de forma harmônica.
Importante salientar que uma vez que só é possível atender a LGPD através de ações e soluções distribuídas nestas 4 visões, resta claro que não há no mercado um único produto de prateleira para atendimento pleno à LGPD. É importante este alerta, pois tenho visto algumas ofertas de soluções que fazem propaganda dando entendimento que a implantação da referida solução é suficiente para permitir a empresa ficar compliance com a LGPD.
Neste breve artigo não intenciono esgotar o tema, mas sim iniciar a discussão acerca do mesmo. Creio que a empresa optar por arriscar, ou seja, ter um grande "apetite ao risco" e não realizar as adequações exigidas na LGPD, entendo ser via de regra o pior o caso, pois a empresa pode ser considerada negligente no caso de um incidente de violação de dados e neste caso as sanções poderão sim ser exemplares e neste caso pagar para ver, pode de verdade sair bem caro. Até a próxima!
Neste breve artigo não intenciono esgotar o tema, mas sim iniciar a discussão acerca do mesmo. Creio que a empresa optar por arriscar, ou seja, ter um grande "apetite ao risco" e não realizar as adequações exigidas na LGPD, entendo ser via de regra o pior o caso, pois a empresa pode ser considerada negligente no caso de um incidente de violação de dados e neste caso as sanções poderão sim ser exemplares e neste caso pagar para ver, pode de verdade sair bem caro. Até a próxima!
Nenhum comentário:
Postar um comentário