O dia 18 de setembro de 2020 marcou o calendário brasileiro. Essa foi a data em que a Lei Geral de Proteção de Dados (LGPD) de fato entrou em vigor no país. A expectativa de que isso só aconteceria em 2021 pode ter pego algumas empresas de surpresa, mas o fato é que já não há mais desculpas para não ficar em conformidade com a lei.
Um segmento que pode encontrar dificuldades pelo caminho são as pequenas e médias empresas. Afinal, são elas que contam com estruturas mais enxutas do que as grandes companhias. Porém, é preciso ficar de olho, já que a Autoridade Nacional de Proteção de Dados (ANPD) vem se reunindo com a Frente Empresarial em Defesa da LGPD, para abrir um diálogo sobre as dificuldades e também esclarecer pontos sobre a aplicação da Lei.
Esse tipo de diálogo com o setor empresarial deve se manter durante todo o ano, mas um ponto muito interessante que também foi discutido, é que a ANPD tem como prioridade a edição de normas, orientações e procedimentos simplificados para que PMEs, MEIs, startups e empresas de inovação possam adequar-se à LGPD.
Atualmente existem mais lacunas na lei, e na redação atual, a conformidade com a LGPD impõe essencialmente o mesmo nível de exigências, independentemente do tamanho do controlador/operador. Considero esse um passo na direção correta, afinal o objetivo da lei é, justamente, a proteção dos direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da personalidade da pessoa natural. Vale ressaltar que a ideia não é inviabilizar negócios. Considerações similares estão presentes, por exemplo, na GDPR.
Portanto, o desafio é grande e envolve muito trabalho e paciência, pois a jornada inclui etapas que geram mudanças significativas na cultura e comportamento dos colaboradores, desde o diagnóstico, mapeamento de dados, implantação de controles e ações de conscientização.
Para ajudar nesse processo, enquanto a ANPD não define a flexibilização de alguns controles, listo algumas dicas para as PMEs se adequarem à LGPD:
- Conheça seus dados
Um primeiro passo essencial na jornada rumo a adequação à LGPD é conhecer os dados pessoais que sua empresa trata, afinal não é possível proteger aquilo que sequer sabemos que existe. Dentre as várias opções, realizar o mapeamento dos dados pessoais é a que se mostra inicialmente mais adequada, já que permite ter uma visão completa de como as múltiplas áreas/processos da organização lidam com dados pessoais no dia a dia. Esse processo vai apoiar o entendimento de pontos críticos que incluem desde possíveis fragilidades de segurança, até pontos que podem inviabilizar o atendimento aos direitos dos titulares.
- Avalie seu nível de adequação
Outro passo muito importante é entender o nível de conformidade da sua organização com os requisitos da LGPD. Uma forma rápida de entender a situação da sua empresa, é realizar uma avaliação, costumeiramente chamada de análise de gaps ou assessment. Idealmente o resultado dessa avaliação vai permitir identificar as principais deficiências e servir como base para traçar um plano de adequação.
- Faça planos de curto, médio e longo prazo
Com a LGPD em vigor desde setembro de 2020, se sua empresa ainda está em uma fase inicial de adequação, a dura verdade é que uma violação de dados pessoais é mais que provável. Aceitar esse fato e entender que nem todos os pontos necessários à conformidade podem ser resolvidos do dia para a noite é algo natural, mas não há motivos para pânico. Existem algumas ações razoavelmente simples que podem oferecer um ganho significativo, como criar um canal básico para receber solicitações dos titulares, ou mesmo criar uma política de privacidade e proteção de dados pessoais. Essas vitórias rápidas (quickwins) não só ajudam na dinâmica da jornada rumo à adequação, como servem de base para controles mais complexos, que podem levar semanas ou mesmo meses para serem concluídos.
- Encarregado ou não? Eis a questão!
Não há dúvidas de que ter uma pessoa responsável por apoiar práticas de proteção de dados é algo fundamental para toda organização. O que muitas PMEs, startups e empresas que estão iniciando se questionam, é a real necessidade de ter um encarregado pelo tratamento de dados pessoais. Infelizmente, em sua redação atual, a LGPD não permite uma flexibilização desse ponto: toda empresa que realiza tratamento de dados pessoais conforme descrito na LGPD precisa apontar um encarregado/DPO. Mas será que isso é algo tão danoso para sua operação? O papel do DPO é apoiar a organização, servindo tanto como canal de comunicação com a ANPD e titulares, quanto evitando a ocorrência de violações de dados pessoais, algo que pode ter um impacto tão severo ao ponto de inviabilizar todo um negócio. É importante lembrarmos que, garantidos certos quesitos como liberdade de atuação e independência, o encarregado não precisa ser obrigatoriamente um cargo exclusivo, na verdade muitas empresas combinam essa responsabilidade com posições já existentes em áreas como controladoria, marketing, Segurança da Informação ou TI. Outra alternativa é buscar empresas especializadas que fornecem o chamado “DPO as a service”, ou seja, o encarregado passa a ser um serviço contratado. Claro, existe a possibilidade de a ANPD flexibilizar a necessidade de um encarregado para PMEs e startups, mas isso não é garantido e de toda forma, os benefícios de ter um profissional atento a questões tão importantes normalmente ultrapassam, e muito, os custos associados.
- Conscientização é a chave do sucesso
No meio de tantos fabricantes e integradores prometendo produtos e tecnologias que agilizam o processo de adequação, o fator humano na proteção de dados pessoais parece ter um papel de coadjuvante, algo que não poderia ser mais equivocado. Talvez você até se surpreenda, mas em sua jornada rumo à adequação a LGPD, é bastante natural que a organização passe por um grande amadurecimento, e uma profunda mudança na cultura corporativa. É natural realizar ajustes em tecnologias e processos, mas não podemos esquecer que o pilar central de qualquer organização, independente do seu porte, são as pessoas que a constituem. Investir em conscientização sobre proteção de dados pessoais é provavelmente um dos pontos mais importantes em qualquer projeto de adequação. Claro, não há necessidade que todos da empresa se tornem especialistas em LGPD, mas é extremamente importante que colaboradores em todos os níveis compreendam as regras adotadas pela organização, além de pontos chave como os direitos dos titulares ou situações que podem ser caracterizadas como incidentes e violações de dados pessoais.
- Não tenha medo de pedir ajuda
Acredito que você já percebeu um fato: “Proteger dados pessoais é o novo normal.”. Sim, a chegada da LGPD muda toda a forma como a maioria das empresas trabalham, além disso, a cada dia os titulares estão mais conscientes dos seus direitos, e dos limites que devem ser impostos às organizações que tratam seus dados pessoais. Se você ainda está iniciando o processo de adequação, sua jornada rumo à conformidade com a LGPD pode parecer longa, mas não há motivo para tomar o caminho mais difícil. Temas como segurança da informação e proteção de dados pessoais já são bem difundidos, e se sua organização está tendo dificuldades, pense seriamente em consultar um especialista que pode servir como guia nessa jornada.
*Cláudio Dodt é sócio da Daryus Consultoria e especialista e evangelista em Segurança da Informação e Proteção de Dados.