Por Roberto Wik*
O ano acabou de começar e 2020 parece estar distante. Será? A nova Lei Geral de Proteção de Dados do Brasil (LGPD – Lei 13.709/2018/MP Nº 869), que deverá entrar em vigor em agosto de 2020, já está deixando muitas empresas apreensivas. Depois dos booms de ISO 9000, ISO 27000, SOX, entre outros, a LGPD é com certeza uma das leis recentes de maior impacto nas organizações de forma geral, e aborda o tema de governança de dados como nenhuma outra.
O dispositivo, em grande parte similar ao General Data Protection Regulation (GDPR), em vigor na Europa desde 25 de maio de 2018, visa a trazer mais rigor para a forma com que empresas privadas e órgãos governamentais tratam as questões de privacidade e proteção de dados dos cidadãos brasileiros.
Informações pessoais podem variar de endereços residenciais, escolas frequentadas, datas de nascimento, número de CPF, números de registro de carro e informações médicas, a dados sobre ocupação, renda mensal, perfis de risco e muito, muito mais. E nem todas as informações são detidas pelos dados originais proprietários – grande parte também é compartilhada com fornecedores, parceiros e terceiros.
Neste período de incertezas e adequação há também uma série de razões positivas para embarcar nessa jornada, incluindo oportunidades para estreitar o relacionamento com o cliente, tornar serviços mais competitivos, fazendo-os mais personalizados e deixar uma porta aberta para novas oportunidades, a fim alcançar mais receita e impulsionar o processo de transformação digital nas organizações.
E agora? Por onde começar?
Não existe solução única e completa para se adequar à LGPD, contudo há diversos caminhos e abordagens para tratar desse novo requerimento, de forma a enxergar não apenas como algo pontual, mas como uma oportunidade de preparar sua organização para requerimentos futuros, melhorando a governança de dados. Além disso existem benefícios de negócio que vão além da conformidade com a lei.
A implantação de ações que vão fazer com que sua empresa fique aderente à legislação deve ser encarada como uma jornada de transformação, e não um simples projeto. Estar pronto para a LGPD significa muito mais que estar em compliance com a lei. Essa jornada pode ser definida em cinco etapas principais:
- Engajar as várias áreas da empresa no projeto, pois são afetadas pelo LGPD por utilizarem dados de clientes ou dos colaboradores em suas atividades.
- Identificar quais dados sua organização utiliza. Saiba quais dados sua organização gerencia, onde estão, quem os utiliza, com que propósito e como são protegidos.
- Treinar seus funcionários e educá-los sobre a importância e os impactos da LGPD.
- Modificar seus processos de negócios para dar suporte às solicitações de auditoria e gerenciamento de consentimento.
- Analisar e gerenciar suas políticas de segurança e privacidade e revisar todos os contratos relevantes com terceiros.
Em seguida a essa mobilização inicial, deve-se então realizar uma avaliação do estado atual na empresa em relação ao requerido pela LGPD. Com isso, tem-se uma visão mais clara das não conformidades existentes, bem como a prontidão da organização para assumir essa jornada.
O passo seguinte é a definição de um plano de ação com um roadmap, conforme a priorização feita pela organização em relação aos principais pontos encontrados. Esse processo será contínuo e evolutivo, com oportunidades de introduzir novas soluções que ajudam a mitigar os riscos de negócios para o LGPD, tais como automação de processos (RPA), Inteligência Artificial (AI), Internet das Coisas (IoT), Gerenciamento de Dados Mestres (MDM).
Paralelamente a todo esse processo, deverá haver uma frente de educação e conscientização para toda empresa, com um projeto de gestão de mudança dedicado e também programas de treinamento visando a alcançar mudanças sólidas para mitigar quaisquer riscos relacionados ao infringimento da lei.
E não é somente para dentro de casa que devemos olhar. As empresas também devem demonstrar que garantiram que terceiros processando dados sob sua responsabilidade tenham políticas e processos suficientes para garantir que:
a) terceiros também estejam em conformidade com a LGPD; e
b) os processos não engessem as atribuições do líder responsável pelo gerenciamento de dados.
Muito provavelmente você precisará de suporte em outras duas frentes: uma para definição e implantação das ações (processos) e outra voltada à tecnologia com foco na gestão e governança dos dados e na automação.
Principais recomendações para uma jornada LGPD de sucesso:
• defina métricas claras – embora a conformidade com a LGPD seja óbvia, as metas centradas no cliente, como reduzir as taxas de atrito e aumentar a aquisição de clientes, podem ajudar a aumentar a percepção da governança de dados como um facilitador da centralização no cliente.
• concentre-se em uma área de cada vez para ajudar a monitorar o progresso, refinar a estratégia e os investimentos.
• promova a colaboração em um estágio inicial – garantir a adesão de pessoas-chave ajudará a comunicar a importância da governança de dados em toda a empresa.
• tenha a cultura correta – defina a responsabilidade pela governança de dados (eleja um responsável pela privacidade de dados se você não tiver um). A governança de dados deve ser coordenada entre as áreas de negócios e a de TI – e, para que isso funcione, é necessária uma mudança cultural em toda a empresa. De cima para baixo, os funcionários devem ser incentivados a entender a importância dos dados e promover uma cultura orientada à proteção deles.
• atenha-se a uma única arquitetura de gerenciamento de dados – incluindo integração de dados, gerenciamento de qualidade de dados, gerenciamento de dados mestres e segurança de dados – simplificando o gerenciamento geral à medida que seu ambiente de dados se expanda.
• use tecnologia com propósito específico para automatizar e dimensionar o gerenciamento e a governança de dados – você não pode depender apenas de recursos humanos para lidar com a explosão de dados. A tecnologia permite que você forneça uma solução de custo efetivo e adequada às necessidades futuras.
Em resumo, a LGPD:
• é uma das legislações mais impactantes no Brasil sobre governança e proteção de dados dos últimos anos.
• tem impacto em qualquer organização presente no Brasil que lide com os dados pessoais e corporativos de cidadãos brasileiros.
• a multa máxima por descumprimento da lei é de até R$ 50 milhões ou 2% do faturamento anual da organização – o que for maior.
• o prazo para atingir a conformidade é agosto 2020.
*Roberto Wik é diretor da Indústria de Varejo da Cognizant no Brasil.
