Sucesso e competência em uma área não significa aptidão em tudo. Recentemente li um artigo no LinkedIn que dizia do problema em transformarmos pessoas bem sucedidas em uma área em heróis para toda a vida e em todas as áreas. Não é porque alguém canta ou joga futebol bem que será também um bom empresário ou pai de família.
Creio que estamos vivendo mitos assim agora que a LGPD já é parte do vocabulário de muitas empresas e profissionais afins.
A proteção de dados é agora o que já vivemos com Compliance, CDC, SOX e o “bug do milênio” de antes. A diferença é que não há data de corte e sim muito trabalho em todas as frentes para adequação, conscientização, conformidade legal e sustentação das operações.
Nem mesmo as empresas multinacionais estão adequadas totalmente à LGPD porque agora o foco é certificação e integridade de dados pessoais tratados no Brasil. Além disso, a ANPD será uma nova Autoridade de Controle brasileira. Portanto, assim como a nossa tomada de três pinos, as interpretações e conceitos podem ser diferentes da maturidade europeia.
Mesmo sendo derivada e inspirada na GDPR, a Proteção de Dados Pessoais demandará muito trabalho ainda antes de estar “pronta”. Interna ou externamente serão necessários assessments/gap analysis técnicos, mapeamento de dados, ISO 27001, PCI, venda de soluções e equipamentos para segurança, acesso e backup, desenvolvimento e adaptação de aplicações, ferramentas de controle de privacidade, Data Privacy Management Systems; soluções para criptografar e anonimizar banco de dados e muito mais!
Pode haver um único gestor, mas é um mito que exista um único vendor ou “bala de prata” que consiga solucionar todos os pontos trazidos pela LGPD, em todos os segmentos ou para todas as empresas. Cada negócio deverá olhar para as suas necessidades de adequação e conscientização antes de decidir o que implementar. Isto deverá ser feito diretamente ou através de seus Trusted Advisors e um ecossistema próprio.
Dentro do Assis e Mendes, a Proteção de Dados pessoais não é um assunto novo. Há quase 15 anos trabalhamos com DireitoDigital e sempre tivemos contatos e desafios jurídicos envolvendo grandes volumes de informações e bancos de dados de milhares de usuários.
Mesmo assim, confesso que desde que começamos a implementar a GDPR em 2.017 para empresas brasileiras, aprendemos e aprofundamentos nossos conceitos sobre Privacidade, Finalidade e o que é razoável na equação entre Tecnologia e Segurança e Orçamento. Mesmo com tanta bagagem e interesse na área, não me julgo especialista ou capaz de cobrir todas as nuances que a LGPD necessita.
Mas a principal lição foi o contato com diversas empresas europeias e o entendimento dos passos que seguiram na Europa para adequação à GDPR.
Como agora está ocorrendo aqui no Brasil, houve a corrida do ouro de escritórios de advocacia que vendiam pareceres sobre o que significava a Lei; depois de vendedores de ferramentas que poderiam resolver questões ligadas aos pareceres.
Finalmente o mercado europeu amadureceu e encontrou empresas de serviços e consultorias específicas para servirem como Trusted Advisors.
São estes parceiros que realmente entendem as necessidades de cada negócio e apoiam as empresas desde a conscientização até o mapeamento dos dados e implementação técnica e operacional dos novos conceitos.
Ficamos felizes de hoje podermos trabalhar com diferentes parceiros e consultorias de todos os tipos nos novos desafios do Brasil e hoje também sermos reconhecidos como Trusted Advisors quando o assunto é Proteção de Dados.
Interessante! Mas se o Jurídico não é o mais importante para a LGPD e dados pessoais, para que serve o assessment jurídico neste contexto?
Você contrataria um monte de advogados para desenvolver um software ou fazer o marketing da sua empresa?!
Já assumindo a postura ética que todos deveriam ter, a nossa resposta é que nenhum advogado bom é capaz de superar um consultor ruim de segurança da informação em questões que envolvam a tecnologia, ambientes ou configurações lógicas!
Infelizmente, se um advogado perguntar se a empresa tem criptografia ou usa algum tipo de firewall e a resposta for sim; ele ficará muito contente e anotará isso numa planilha.
Mas temos que lembrar dos conceitos e princípios da Proteção de Dados, principalmente de questões que envolvem boas práticas, o “Security and Privacy by Design; or by Default”. O que os advogados não conseguem saber é se o firewall está de fato ligado e está cobrindo todas as necessidades da empresa; bem como se a criptografia, por si só, é capaz de resolver as questões técnicas que envolvem o acesso e compartilhamento de dados.
Preferimos nos concentrar no que sabemos fazer de melhor e cuidar apenas dos conceitos jurídicos deste novo padrão de governança de dados.
Pode parecer pouco, mas nossos trabalhos abrangem apenas:
- Entender o que a empresa faz e como coleta e trata dados pessoais;
- Dar a correta caracterização legal de informações, dados pessoais e sensíveis coletados para cada atividade;
- Verificar se todos os requisitos da jurídicos já estão em uso e são suficientes, ou se há a necessidade de ajustes na operação e documentação antes da vigência;
- Antecipar questões envolvendo o tratamento de dados Internacionais/Compartilhamento de dados com terceiros;
- Fazer comparações e benchmark das necessidades de nossos clientes, com cases de empresas europeias e suas necessidades de adequação perante a GDPR;
- Definições técnicas de, em que momentos, o Cliente agirá como CONTROLADORA ou como OPERADORA de dados pessoais, englobando;
- Palestras, treinamentos e workshops de conscientização e implementação dos conceitos de Privacidade e Proteção de Dados Pessoais.
Todos o demais pontos e inclusive o mapeamento dos dados e questões de segurança da informação devem ser feitos por empresas ou soluções especializadas, nunca por somente juristas.
E, claro, indo além, quando já houver uma consciência dos dados, numa segunda fase, também apoiamos nossos clientes e parceiros na:
- Adequação de contratos com fornecedores de TI que recebem dados pessoais ou sensíveis das empresas;
- Revisão dos termos de uso e contratos com as cláusulas de consentimento;
- Participação e revisão dos Relatórios de Impacto à Proteção de Dados Pessoais, exigidos por lei;
- Revisão e opinião nas questões jurídicas envolvendo Políticas de Segurança da Informação, Comitê de Crise e mapeamento dos riscos jurídicos do negócio;
- Apoiar o Cliente em premissas, bem como definição das funções / perfil e formação de um DPO – Encarregado de Dados Pessoais.
Lembrem-se que o código-fonte é diferente do Código Civil!
Que venham os novos tempos, mais conscientes e seguros!
Por Adriano Mendes, sócio fundador da Assis & Mendes e DPO