Com a palavra, o Encarregado de Dados: Sthefany Souza, da Level Group, para o blog da LGPD Solution

1.Quem sou? Faça uma pequena apresentação a seu respeito: currículo, cargo que ocupa, nome da empresa (se possível) que exerce a atividade de DPO, trabalhos que já tenha exercido e obras realizadas.

Meu nome é Sthefany Souza, graduanda em Sistemas Para internet na faculdade de São Roque, com quase 10 anos de atuação na área de tecnologia, atuando hoje como analista de negócios de TI e nomeada DPO na LEVEL GROUP.

2.Quais os principais desafios de um Encarregado de Dados (Data Protection Office) em uma organização? Descrever, de acordo com a sua convicção, como é desempenhar este papel tão importante na empresa, diante do que diz a LGPD.

Refletindo nas atribuições do DPO previstas nos artigos 5 e 41 da LGPD, o encarregado de dados tem grandes desafios para desempenhar seu papel dentro das empresas, é verifico a impossibilidade de exercer suas funções sem o apoio de tecnologia, e isso não se restringe apenas nas tecnologias de monitoramento, proteção ou detecção de incidentes de segurança, mas das ferramentas que ajudam na gestão de privacidade e da conformidade com a Lei de Proteção de dados no geral.

Um ponto de atenção como desafio do profissional é de fato conhecer os processos de negócios que coletam e tratam os dados pessoais, essa preocupação é entender onde esses dados estão armazenados e processados, portanto, o primeiro desafio é saber onde estão e como encontrar os dados, além disso, como manter o inventário de dados atualizado, pois os dados que as empresas processam, crescem e se modificam todos os dias.

Outro desafio é sobre o volume de dados pessoais que podem ser encontrados em uma empresa e como relacioná-los de alguma forma, para que seja possível conectar todos os registros de dados pessoais, independente de qual repositório ele se encontra, com essa mentalidade e ação é muito mais fácil atender a demanda de um titular.

O relacionamento com as outras áreas são de grande importância isso quer dizer que, por mais que ele tenha acesso a dados e insights valiosos para tomada de decisão do que é necessário ser feito quanto à segurança de dados da empresa, na maioria das vezes, o DPO vai ter que conquistar espaço e apoio para conseguir implementar seus projetos e conseguir atuar de forma mais assertiva possível com todos falando a mesma linguagem. 

3.Como seria um cronograma ideal de implantação de projeto de adequação de governança de dados, de acordo com a sua experiência? Propor, de forma ideal, por onde começar e como desenvolver um projeto de adequação à LGPD, do início ao fim. Se possível, apresentar um “roadmap” para ajudar outros profissionais a enfrentar este desafio.

1- Conhecendo a LGPD

Primeiro passo que acredito que facilita na implantação é conhecer sobre a LGPD, ou seja, fazer o estudo sobre a lei, hoje com a disseminação da informação é possível coletar informações sobre a LGPD e sua importância, no site do governo federal é disponibilizado a documentação sobre a lei e é recomendado atenção em cada um dos tópicos abordados, e no caso de dúvidas procure um especialista na área uma consultoria séria e responsável que atenda suas necessidades e que sanem todas as suas dúvidas.

2- Comitê de proteção de dados

O segundo passo é ter um bom comitê interno responsável pela LGPD, estamos falando de reunir profissionais da empresa envolvidos diretamente com os dados (Corpo jurídico, TI, vendas, financeiro, Rh etc.), a lei determina que a operação de dados seja efetuada de forma cuidadosa e transparente e um bom meio de garantir isso é compondo um comitê de proteção de dados com profissionais especializados em aspectos jurídicos quanto nas diversas áreas das empresas que são afetadas pela lei, esse comitê será responsável pelas avaliações de risco e definição dos códigos de condutas seguindo as diretrizes da Lei Geral de Proteção de Dados. Seu trabalho, é garantir que a empresa está operando dentro dos requisitos legais, sendo assim, a formação do comitê é imprescindível para o sucesso da conformidade com a LGPD.

3- Definir/nomear o encarregado de dados (DPO)

Terceiro passo, definição do encarregado de dados, com a implantação da LGPD um novo profissional entra em atuação, o DPO ou encarregado de dados, por lei, ele é uma pessoa física ou jurídica que representa o controlador e é o facilitador (intermediário) entre o titular de dados, as empresas e a fiscalização, esse profissional deve exercer várias funções que muitas vezes não são desenvolvidas em uma área de conhecimento, portanto é importante que o profissional nomeado seja alguém que possua uma formação interdisciplinar, além de um perfil inter-relacionado uma vez que o relacionamento com vários profissionais dentro da empresa se faz necessário.

Falando em termos legais no § 2o. do artigo 41o., as atividades do DPO são:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações das autoridades legais e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em resumo, o encarregado é a pessoa que será responsável por comandar as atividades de proteção aos dados dentro da empresa e estar ciente e familiarizado com todas as informações que tratem os dados pessoais.

4- Desenhar os processos

Quarto passo é com o comitê formado e o DPO nomeado, é hora de olhar para empresa e dar o primeiro passo para a jornada LGPD, com as ferramentas de data mapping é possível eleger os questionários necessários adequando as áreas de negócio da empresa, com a finalidade de ter um retrato da sua operação.

Umas das perguntas pertinentes para compor o questionário são:

  • Qual a volumetria dos dados tratados?
  • Quais são os tipos de dados que são tratados na empresa?
  • Quem são os responsáveis pelos dados tratados?
  • Por que esses dados são coletados?
  • Até quando os dados ficarão nas bases da empresa?
  • Como é feito o descarte desses dados?

Uma dica é usar o bom senso para fazer perguntas de forma criteriosa e objetiva, dessa forma é possível ter precisão sobre o estado atual da companhia.

5- VALIDE AS BASES LEGAIS PARA OS DADOS PESSOAIS TRATÁVEIS

Feito isso o próximo passo é adequar os processos para que estejam em compliance, ou seja, é rever os processos de cada área mapeada e embasar corretamente esses dados uma vez que o tratamento deve ser fundamentado na legislação, além disso, a finalidade de ser bem definida e justificada pela base legal adequada, sem contar que o ciclo de dados deve ser claramente definido.

Em outras palavras, esse é o momento de justificar para o governo o motivo do seu negócio ter aqueles dados e por quais finalidades eles serão utilizados, antes de entender essa tarefa como concluída, confira quais são os procedimentos corretos de validação para cada caso.

6- Manutenção da proteção de dados

O sexto passo é fazer a manutenção da proteção dos dados, é importante avaliar os processos pelo ponto de vista de segurança infraestrutura e se atentar quais medidas devem ser adotadas para que sejam atendidos de forma assertiva as recomendações legais.

As recomendações jurídicas são de grande importância seu principal objetivo é avaliar se as atividades de tratamento de dados estão sendo respeitadas pelos princípios da LGPD.

Esse trabalho é de esforço coletivo a premissa é que todos tenham ciência de que os colaboradores devem trabalhar em prol do mesmo objetivo e essa ação deve ser um novo valor para as empresas, respeitadas e promovidas por todos.

4.Qual os benefícios de se realizar um projeto de governança de dados pessoais e segurança da informação?

Melhora a organização

Diante do aumento de geração de dados, empresas desorganizadas podem sofrer o chamado “apagão digital”, a governança evita que essa massa de informações vire um problema e a transforma em solução, um exemplo é uma estrutura adequada é capaz de sanar dúvidas e determinar responsabilidades a todos os agentes envolvidos promovendo eficiência operacional.

Melhora a confiança

Um dos diferenciais das empresas com a governança de dados é justamente possibilitar um raio x do caminho dos dados e sua utilização, na era LGPD em que a privacidade impera as discussões empresariais a transparência tem um peso muito maior.

Aprimora a tomada de decisão

As empresas muitas vezes precisam de respostas que ainda não existe, por exemplo, qual será a demanda por determinado produto? Qual é a melhor época para promover um determinado serviço? Onde lançar novas filiais? Embora os dados não prevejam o futuro, eles nos dão condições para tomada de decisões mais conscientes.

Permite a gestão de riscos

Os riscos existem e devem ser mapeados constantemente, o único meio de realizar esse trabalho é conhecendo todos os ativos que circulam na empresa, do contrário é inviável elaborar estratégias de prevenção e remediação junto ao time de segurança da informação

 5. Como a LGPDSolution ajudou no processo de implantação de LGPD na sua empresa?

Uma das melhores tomadas de decisão da Level foi a contratação da consultoria da LGPDSolution, todo o processo foi realizado de forma muito profissional e assertiva, a entrega da consultoria foi realizada antes do previsto e o projeto foi muito mais do que entrega de políticas e entrevistas, a Level realmente pode contar com um suporte muito estruturado e ágil por parte da LGPDSolution, eu como DPO da empresa gostaria de deixar expresso meu agradecimento a advogada Aline Figueiredo que nos auxiliou nas entrevistas entre os departamentos da empresa e um agradecimento especial ao Paulo Perrotti, por todo trabalho, apoio, e principalmente pelo desenvolvimento de todas as políticas que foram elaborados com maestria bem como todo suporte prestado, recomendo muito a consultoria da LGPDSolution e fico certa de que as empresas que o contratarem terão uma experiência incrível.

6.Quais os principais perigos na implantação de um projeto de adequação à LGPD? Listar, de forma exemplificativa, quais são os problemas enfrentados, tanto técnicos quanto pessoais, na implantação do projeto de LGPD.

Existem muitas possiblidades de problemas que podem ocorrer durante uma implantação de um projeto, de fato não há um único fator de fracasso na implantação, mas um conglomerado de ações e resultados para que o projeto não saia conforme o esperado, uma das coisas que podem gerar resultados inesperados é por o mapeamento na primeira etapa, nesse aspecto o projeto ficará com sensação de falta de evolução mediante a celeridade necessária dentro do que a empresa espera.

Outro fator que impacta muito é a resistência de algumas áreas ao atuar/lidar com o tema, algumas áreas por não tomarem ciência de que a responsabilidade da implantação é de todos e não restringir apenas ao time de TI e jurídico, ou por acharem que a volumetria de trabalho vai aumentar pode gerar um grande caos durante a implantação.

7.Conclusão: apresente a sua visão pessoal a respeito dos desafios impostos pela LGPD e da sua profissão de DPO, para que possa inspirar outros profissionais a seguir as suas orientações e a sua profissão.

As empresas que não cumprem a lei hoje podem ter muitos obstáculos com os parceiros e clientes próximos, podendo acarretar até em perda de contratos de forma recorrente, isso porque o consumidor final está cada vez mais exigente e criterioso com os seus fornecedores, desconfiando e tendo cuidado maior sobre as corporações que não tem boas práticas internas ou que não agem com transparência.

Uma empresa que não se adapta as práticas determinadas pela lei fica cada vez mais com as suas estruturas abaladas e dificilmente conseguirá manter um padrão de governança.

Resumindo, é muito importante buscar parceiros com expertise em adequação á LGPD, quando o processo é feito internamente e a adequação não for aplicada de forma adequada pode resultar em falência das empresas, seja pela desistência dos clientes e parceiros ou por valores nas aplicações de multas.

É importante que as empresas tenham consciência e tratem como valor corporativo que esse é um projeto de todos, e todos os colaboradores se unindo pela mesma causa o efeito da implantação pode se dar de uma forma mais leve e efetivo.

Paulo Perrotti
Paulo Perrotti

Head Cyber Security LGPDSolution, Auditor ESGSolution, Membro Comissão Relações Internacionais e Comissão Privacidade e Proteção de Dados OAB/SP, ISO 27001 e Presidente da Câmara de Comércio Brasil-Canadá (CCBC) de 2017 a 2021.