Setores como financeiro e, em níveis de prontidão, mesmo o de varejo, caminham bem, mas áreas como a da saúde, por exemplo, ainda engatinham. Imagine que você vá fazer um simples exame e daí o médico da clínica pede para que você encaminhe os resultados para um e-mail genérico como “atendimento@”. Quantas pessoas não terão acesso ao mesmo? Onde e de que forma esses dados serão armazenados e usados?
A situação descrita acima deixa claro que uma análise simples de “conforme / não conforme” não é suficiente ou pelo menos não resolve todas as implicações envolvidas. Para ir mais a fundo, é preciso reconhecer que o atendimento integral à nova Lei tem um caráter multidisciplinar que abrange estratégias de negócios, processos, tecnologias, políticas de relacionamento e atendimento ao consumidor, práticas de RH, postura dos colaboradores e até questões de cultura corporativa.
Com este cenário, uma opção consistente de preparação é, à semelhança da área de Administração e Contábil, realizar um Assessment LGPD na empresa para compreender suas práticas atuais de proteção de dados, o que a nova legislação está requerendo e qual é este “gap” entre as duas dimensões. Nesta análise, focamos em três aspectos principais: negócios, jurídico e TI, levando-se em consideração não somente a própria LGPD, como também os códigos internacionalmente reconhecidos para a segurança da informação e o gerenciamento de riscos.
Neste trabalho, o primeiro passo é identificar claramente quais dados de pessoas físicas a empresa armazena, ou tem contato. A natureza deles também é algo a ser estudado, pois quanto mais sensível a informação, maior o potencial de dano e nível de segurança exigido. Passamos então à análise do lugar ou maneira como estes dados são armazenados, ou seja, em sistemas, e-mails, planilhas, contratos, notas, recibos etc.
Chegamos então a uma das principais novidades da LGPD, a avaliação ou mesmo desenho dos procedimentos de obtenção de consentimento das pessoas para utilização de dados. Aqui, a situação começa a complicar mais, pois não basta ter o procedimento para permitir a utilização, a lei exige que a empresa possa rastrear posteriormente como os dados das pessoas são utilizados, quem os utiliza, para qual propósito e por quanto tempo. Logo, algo complexo que demanda tanto sistemas de TI, como processos, treinamento de equipe e até a criação de métodos de auditoria.
Há também uma situação inteiramente nova que precisa ser endereçada: procedimentos efetivos para garantir o direito de remoção dos dados pessoais quando assim solicitado. Em um olhar superficial, pode parecer algo simples. Mas não é. Imagine o desafio de remover um dado de empresas de porte nacional, com vários canais de venda, bancos de dados, integração com fornecedores e subsidiárias de um mesmo grupo. Sem contar os itens mais práticos: quem vai receber este pedido? De que forma? Qual é o prazo de exclusão? Como o cliente ‘proprietário’ é avisado? Ou seja, é toda uma nova atividade dentro da empresa que precisa ser desenvolvida.
A empresa precisa se preparar para um eventual vazamento de informações. Além das multas, a Lei prevê que este fato deve ser comunicado publicamente. Logo, as empresas devem ter bem claro: quem cuida das informações, como são monitorados vazamentos, quem compõe o time de crise para tomar as decisões de forma rápida, dentre outros. Em paralelo a tudo isso, as empresas devem reavaliar contratos, tanto com fornecedores quanto para o time interno, engajar a equipe e comunicar adequadamente as mudanças aos públicos envolvidos, definindo quais pontos devem ser tratados, por quem e em qual prazo.
Todas essas questões demandam tempo, não somente para as adequações, mas para que as partes envolvidas concordem acerca das mudanças necessárias. Essa é a principal razão para que se estabeleça um senso de urgência para as ações rumo à LGPD. Quanto mais tempo a empresa demorar para começar, menos tempo terá para ajustar o que for preciso e ter confiança nessa curva de aprendizado, necessária e inevitável.
As sanções administrativas e multas são pesadas e passam a valer a partir de agosto de 2020. Dependendo da maturidade da empresa e do ramo de atuação, as mudanças e a transformação podem ser gigantescas. A LGPD pode enterrar estratégias/ações de captação de clientes para venda de produtos e serviços e até mesmo inviabilizar negócios inteiros.
*Antonio Cipriano é vice-presidente da Cosin Consulting
