Temos acompanhado as dificuldades que as empresas estão enfrentando para se adequar às novas leis de proteção de dados há muito tempo, pois como um escritório especializado em tecnologia que orienta empresas de todos os portes, inclusive multinacionais, estamos nesse tema desde 2016, com o nascimento do GDPR na Europa.
Agora, faltando apenas 01 ano para a entrada da nossa Lei Geral de Proteção de Dados, temos visto que aqui no Brasil se repetem as mesmas dificuldades enfrentadas pelas empresas na Europa. Qual o tamanho desse projeto? Quem eu preciso envolver na empresa? Como sensibilizo a direção de que esse é um tema urgente?
Por essa razão, entendemos que para as empresas que se encontram nessa situação, o mais adequado é fazer um trabalho de avaliação pré-LGPD, de forma a dimensionar corretamente o que deve ser feito. Vejamos abaixo:
1- Diferentes modelos, diferentes projetos
Primeiramente, é importante compreender que um Projeto LGPD não é totalmente padronizável e não existe uma fórmula básica que faz com que o que foi feito na empresa “a” possa ser replicado na empresa “b” de forma segura, uma vez que cada empresa tem os seus pontos de risco.
Não se trata apenas de entender que uma empresa com 20 funcionários pode ser mais complexa do que uma empresa com milhares. É bem mais complexo que isso.
Vejamos, por exemplo, a diferença entre modelos de negócio. Se uma empresa comercializa seu produto ou serviço apenas para outras empresas (B2B), é muito provável que a sua exposição ao riscos de privacidade seja bem menor do que uma empresa que atende os consumidores no varejo (B2C), haja vista que neste segundo modelo a quantidade de dados pessoais tratados é consideravelmente maior.
Outro exemplo de diferenciação é o grau de dependência de análise de dados que uma empresa possui, seja ela B2B ou B2C, tenha ela 20 funcionários ou milhares. Um bureau de crédito, por exemplo, pode ser apenas B2B e tratar muito mais dados pessoais do que uma papelaria de bairro, que é um B2C. Da mesma forma, uma startup que usa Big Data e Analytics para alimentar uma inteligência artificial precisará desenvolver uma governança em privacidade mais robusta, ainda que tenha poucos funcionários.
Portanto, nos dias de hoje, onde temos B2B2C, Omnichannel e tantos outras formas diferentes de fazer negócios, todo Projeto de LGPD é personalizado e deve considerar o modelo de cada empresa em específico.
2- Diferentes graus de maturidade
Outra questão bastante relevante para dimensionar o tamanho de um Projeto LGPD é o nível de adequação que a empresa se encontra, pois diversos são os fatores que levam uma empresa a estar, hoje, em um nível mais avançado ou mais atrasado em termos de proteção da privacidade.
Um exemplo que podemos citar é o da empresa de origem europeia com subsidiária no Brasil. Na maioria dos casos, essas empresas já precisaram se adequar ao GDPR na União Europeia e muitas das medidas adotadas podem ser aproveitadas para deixar a subsidiária brasileira próxima da conformidade com a LGPD.
É bom deixar claro que, apesar de similares, a LGPD tem diversas exigências que não estão no GDPR e achar que a conformidade com a lei europeia significa, necessariamente, que a empresa brasileira está em conformidade com a LGPD é um grande erro e pode colocar a subsidiária em grande risco.
Outro exemplo que pode ser dado refere-se ao segmento da empresa. É sabido que empresas do setor financeiro devem, por regras do Banco Central e de legislações específicas, ter um cuidado muito maior com a privacidade dos seus clientes do que um setor menos sensível e regulado. Assim, empresas do setor financeiro geralmente estão mais maduras nesse tema do que empresas do setor de alimentos, por exemplo.
Portanto, avaliar se a empresa se encontra em um grau avançado, mediano ou atrasado de maturidade em proteção de dados é essencial para o correto dimensionamento do Projeto LGPD.
3- Necessidade de harmonização corporativa
Diante desses desafios, algumas empresas optam por adotar uma estratégia de não realizar um Projeto LGPD e, ao invés disso, começar a alterar uma política aqui, ajustar um contrato ali, definir um procedimento acolá, sempre de acordo com a necessidade do momento.
Ocorre que essa estratégia pode, além de deixar lacunas que colocam a empresa em risco, resultar em retrabalho e gastos desnecessários, tendo em vista que muitas vezes uma política, contrato ou procedimento pode ser aplicável em mais de uma área de empresa.
Dessa forma, planejar um Projeto LGPD é complexo por que exige uma análise cuidadosa das áreas da empresa para identificar quais delas precisam ser contempladas no projeto e quais podem ficar de fora.
A harmonização deve contemplar todas as áreas que lidam com dados pessoais dentro da empresa, direta ou indiretamente, em maior ou menor grau de utilização.
4- Necessidade de trabalho conjunto entre jurídico e tecnologia
Nós já falamos disso em outro artigo no nosso blog, mas sempre é bom lembrar: nenhum advogado está apto a realizar um Projeto LGPD sozinho, bem como nenhuma consultoria de tecnologia. É necessário o profissional da área jurídica para avaliar se o cenário da empresa está, de fato, atendendo às exigências da lei e, de outro lado, somente uma consultoria especializada em tecnologia pode dizer se, tecnicamente, as soluções implementadas na empresa entregam e garantem o que é necessário.
Portanto, uma avaliação pré-LGPD deve considerar tanto a parte jurídica quanto a parte tecnológica e é recomendável que essas duas consultorias trabalhem em conjunto, de forma que a conclusão de uma seja validada pela outra e vice-versa.
Para ilustrar, imagine a perda de tempo e recursos de uma empresa que contrata um advogado para avaliar se o sistema ERP da empresa está em conformidade com a LGPD e, depois, a consultoria de tecnologia aponta esse mesmo sistema ERP em seu mapa de riscos? Quem estaria com a razão? Qual orientação a empresa deveria seguir?
Da mesma forma, uma consultoria em tecnologia pode fornecer para a empresa um sistema que faz a gestão dos consentimentos dos usuários e afirma que está de acordo com a LGPD e depois, analisando do ponto de vista jurídico, o advogado verifica que não cumpre os requisitos da lei?
5- Alinhamento com a direção geral
Por fim, mas não menos importante, muitas vezes o departamento jurídico ou a área de TI já estão cientes da importância de começar a implementar o Projeto LGPD na empresa o quanto antes, mas ainda precisam sensibilizar a alta gestão da empresa.
De um lado, entendemos a posição desses departamentos. Ninguém melhor do que eles para saber que esse é um projeto que exige meses de trabalho e o prazo para a entrada em vigor da LGPD está chegando rapidamente.
De outro, a alta gestão da empresa precisa estar sensibilizada para aprovar um projeto que eles estão tentando entender. Muitas vezes, ficar apenas argumentando que o prazo está próximo e que a empresa pode ser multada em até R$ 50 milhões não é suficiente sensibilizar os executivos para a tomada de decisão.
Nessa linha, uma avaliação pré-LGPD bem realizada pode ajudar bastante. Conseguindo analisar e dimensionar corretamente o tamanho do projeto, quantas empresas do grupo serão analisadas, quais áreas precisam ser entrevistadas, quais as áreas mais sensíveis, quantos contratos, políticas e procedimentos precisarão ser analisados, quantos sistemas principais a empresa tem utilizado, entre outras questões, pode dar segurança para esse sinal verde.
Essa é a melhor maneira de evitar um Projeto LGPD superdimensionado ou subdimensionado, lembrando que nenhuma das situações é ruim para a empresa que deseja, de fato, alcançar a conformidade com a lei e evitar os riscos decorrentes da sua violação.
Ao final da avaliação pré-LGPD, é bastante importante realizar uma apresentação às principais lideranças da empresa, especialmente das áreas que foram identificadas como sendo sensíveis em relação ao uso de dados pessoais, de forma que essa conscientização e harmonização em torno do tema seja alcançada com eficiência.
Conclusão
Se a sua empresa ainda não tem clareza sobre a dimensão do Projeto LGPD ou está com dificuldade de conscientizar a alta gestão de que esse projeto precisa ser iniciado com urgência, pense se talvez uma avaliação Pré-LGPD é a solução nesse momento.
Nós, do PK Advogados, temos uma equipe altamente especializada em proteção de dados que, além de conduzir os Projetos LGPD, também pode auxiliar a sua empresa na realização dessa avaliação prévia.
