PRINCIPAIS DESAFIOS DE SE IMPLANTAR UM PROJETO DE GOVERNANÇA DE DADOS E SEGURANÇA DA INFORMAÇÃO DE ACORDO COM A LGPD

1.           Quem sou?

Meu nome é Diogo Santos, Engenheiro de Produção com especialização em auditoria interna e Compliance. Sou o DPO e gestor responsável pelo SGI da Álamo Engenharia, englobando certificações ISO (9001, 14001, 45001), Compliance e LGPD, trabalhando há cerca de 10 anos em projetos de implantação e manutenção de sistemas de gestão.

2.           Quais os principais desafios de um Encarregado de Dados (Data Protection Office) em uma organização? Descrever, de acordo com a sua convicção, como é desempenhar este papel tão importante na empresa, diante do que diz a LGPD.

As atribuições do DPO são descritas na própria LGPD, artigos 5 e 41, entretanto a descrição é das atividades, não havendo de maneira alguma um “caminho das pedras” para a execução das mesmas.

Certamente os desafios de um DPO são diferentes de acordo com o tamanho da organização, o escopo dos dados tratados, os processos que serão necessários ajustes, áreas que serão criadas ou modificadas e, como em qualquer projeto, o engajamento das pessoas. Dessa forma, acredito que o maior desafio de um DPO é liderar o projeto de adequação da organização, mapeando os riscos institucionais ao tratamento de dados interno e, em especial, a conscientização de colaboradores, em especial líderes, sobre o que são dados pessoais, como trata-los e por quê.

É uma ruptura de cultura organizacional que implica grandes mudanças, muitos ajustes e uma imensa responsabilidade sobre o DPO. Entender quais dados são relevantes para os processos ao mesmo tempo que conscientizar líderes sobre o a extinção de dados irrelevantes é uma tarefa que exige do DPO muito conhecimento organizacional, um bom diálogo entre as áreas e uma definição clara sobre os objetivos da empresa quanto ao seu negócio, de modo que seja possível definir os limites de dados a serem tratados e o tempo de armazenamento até o descarte.

3.           Como seria um cronograma ideal de implantação de projeto de adequação de governança de dados, de acordo com a sua experiência? Propor, de forma ideal, por onde começar e como desenvolver um projeto de adequação à LGPD, do início ao fim. Se possível, apresentar um “roadmap” para ajudar outros profissionais a enfrentar este desafio.

Inicialmente, é necessário conhecer a LGPD. É importante que a direção da organização, geralmente em conjunto ao jurídico, determine um grupo de profissionais de diversas áreas (em especial jurídico, TI e RH) para o estudo da LGPD e formação de um comitê de proteção de dados, de maneira que seja de domínio de diversas lideranças todo o escopo da LGPD, seus desafios, suas exigências e suas diretrizes. O comitê deve debater a adequação dos processos da empresa quanto a LGPD, avaliando riscos e criando ou auxiliando na criação de políticas e regimentos internos sobre a LGPD.

Em sequência, é fundamental a definição de um DPO, preferencialmente dentre os membros do comitê de Compliance (porém, o DPO pode ser inclusive alguém externo a organização). O DPO será responsável por liderar não apenas o comitê, mas toda a empresa na adequação dos processos a LGPD. O DPO deverá ser o intermediário entre as áreas e a direção e uma voz de segurança e conhecimento quanto as decisões relacionadas a LGPD. A determinação de um DPO é uma exigência da própria Lei Geral de Proteção de Dados.

Finalizada essa etapa inicial, de planejamento, é iniciada a etapa de execução. É o momento de mapear processos, identificar riscos, as entradas de dados pessoais na organização e os principais dados coletados. Nessa etapa, é fundamental entender quais dados são coletados e em quais processos, quais as finalidades para as coletas, qual o volume desses dados e o tempo previsto para armazenamento.

Esses questionamentos inevitavelmente levam a uma série de ajuste de processos, de implantação de políticas, regras de conduta e, tão importante quanto, de exclusão de más práticas, em especial a coleta de dados sem finalidade. Por isso, é muito importante ao DPO o conhecimento da cultura organizacional, de forma a tornar esses ajustes de adequação à LGPD um benefício aos processos da empresa.

Se possível, é altamente recomendado que nessa etapa haja ajuda externa, com a contração de consultoria especializada que auxiliará o DPO e o Comitê de Compliance na criação de políticas e nos ajustes de processos. Mesmo que o investimento em capacitação interna seja considerável, o benchmarking proporcionado pela colaboração com uma empresa especializada é, certamente, de grande valia para a organização em adequação.

Por fim, manter todo o trabalho executado. O trabalho de LGPD não é um projeto com início, meio e fim determinados. O acompanhamento contínuo dos processos, a realização de auditorias internas e, se possível, externas, implantação de canais de ouvidoria e/ou denúncia, entre outros, são aspectos importantes do cotidiano de uma organização adequada a LGPD. Trata-se de um trabalho que deve ser mantido por equipe especializada, que deverá sempre estar em sintonia com o comitê de Tratamento de Dados, as áreas de gestão de mudanças, Compliance, controladoria, TI, RH, riscos e afins, para que todas as alterações futuras que envolvam tratamento de dados pessoais sejam corretamente identificadas, mapeadas, com os riscos alocados e as finalidades definidas, assim como o tempo de armazenamento.

O ciclo PDCA, muito aplicado as normas ISO, é extremamente funcional para a LGPD, sendo um trabalho contínuo, com diferentes etapas, mas sempre volumoso.

4.           Qual os benefícios de se realizar um projeto de governança de dados pessoais e segurança da informação?

Muitos, sem dúvida, mas gostaria de destacar aqui a mudança cultural. Criar um ambiente corporativo em que todos os envolvidos se sintam seguros sobre seus dados tratados, bem como ciente de suas responsabilidades, alenta tanto colaboradores quanto clientes e fornecedores a se relacionar com a empresa. Um ambiente corporativo que preza por segurança da informação traz tranquilidade aos envolvidos e fortalece a marca no cenário comercial.

5.           Como a LGPDSolution ajudou no processo de implantação de LGPD na sua empresa?

A LGPD Solution ofereceu todo o suporte necessário em todas as etapas do projeto, ajudando-nos desde a definição do DPO até a entrega da versão final das políticas e mapas de risco.

Todo o projeto foi realizado de forma muito profissional pela equipe, com profissionais muito dedicados atuando nas entrevistas com líderes para levantamento de riscos e identificação de dados coletados, e um suporte constante de todos, em especial o Paulo Perrotti, em cada etapa de adequação.

Outro destaque da LGPD Solution é o software de gestão de implantação da LGPD, que de fato contribuiu para uma adequação padronizada e organizada, com a distribuição de tarefas e cronogramas sendo claramente definidos e distribuídos.

Ao final do projeto, não poderíamos estar mais certos da decisão que tomamos ao contratar a LGPD Solution.

6.           Quais os principais perigos na implantação de um projeto de adequação à LGPD?

Acredito que a resistência de líderes e a dificuldade na identificação das entradas de dados pessoais sejam os maiores perigos.

Adequação envolve naturalmente mudanças, e mudanças costumam vir acompanhadas de resistência por aqueles já acostumados com a realização de determinado processo. Por ser uma lei bastante profunda sobre critérios de tratamento de dados, é esperado que algumas áreas “sofram” mais com ajustes e alterações de processos que outras, o que pode levar a questões relacionadas a relacionamento ou até mesmo problemas relacionados a capacidade técnica. Por isso, é fundamental que o DPO e o comitê de Compliance esteja sempre conscientizando as lideranças e demonstrando as reais necessidades de adequação, em comparação aos requisitos da lei.

Um outro ponto de dificuldade que quero destacar é a dificuldade na identificação das entradas de dados pessoais. Algumas áreas, por ter uma grande quantidade de dados tratados, pode ter dificuldade de lembrar ou apresentar todos que são recebidos. É fundamental que a entrevista de mapeamento com os líderes e envolvidos nos processos seja bastante profunda e abrangente, se possível acompanhado de uma auditoria, de maneira que não haja dados pessoais coletados que não sejam identificados de forma oficial e relacionados aos processos e documentos onde são coletados.

7.           Conclusão: apresente a sua visão pessoal a respeito dos desafios impostos pela LGPD e da sua profissão de DPO, para que possa inspirar outros profissionais a seguir as suas orientações e a sua profissão.

Por tratar-se de uma legislação muito nova que trata de um tema que não era amplamente debatido, divulgado e tratado com o reconhecimento devido (tratamento de dados pessoais), um dos desafios óbvios é o conhecimento do mercado sobre LGPD e como as empresas entendem a aplicabilidade aos negócios, em especial ao vê-la como apenas mais uma burocracia governamental ou “uma lei que não vai pegar”. É importante para o DPO se esforçar para vencer essa barreira, sendo um agente de mudanças positivas na organização, usando os preceitos da LGPD para uma melhoria geral da organização, buscando a evolução dos sistemas de informação, dos processos e da cultura organizacional.

Um outro ponto interessante, e que é sem dúvida alguma um desafio futuro, é o entendimento judicial que haverá sobre a lei e suas diretrizes conforme casos forem sendo julgados e gerarem jurisprudência. Por ser um tema muito recente, ainda há muito a ser discutido sobre o correto entendimento de algumas cláusulas, em especial as mais polêmicas, então é importante atentar-se ao que legislatório irá ordenar com base em futuras condenações. O atual estágio de incertezas sobre a ANPD e seu regimento contribui para essa insegurança.

Por fim, acredito tratar-se de uma profissão extremamente recompensadora, por trazer benefícios reais no âmbito organizacional e para a sociedade, com resultados práticos facilmente observáveis em ambos os campos. Um DPO dedicado, com conhecimento da legislação e da organização ao qual presta serviço, tem em suas mãos uma poderosa ferramenta para agregar valor, o que é extremamente desafiador e recompensador.

Paulo Perrotti
Paulo Perrotti

Head Cyber Security LGPDSolution, Auditor ESGSolution, Membro Comissão Relações Internacionais e Comissão Privacidade e Proteção de Dados OAB/SP, ISO 27001 e Presidente da Câmara de Comércio Brasil-Canadá (CCBC) de 2017 a 2021.