(Tempo de Leitura: 7 min.)

A conformidade com a LGPD é um dos maiores desafios nas empresas brasileiras atualmente e pouquíssimas empresas estão prontas para lidar com as novas regras de coleta, tratamento e proteção dos dados pessoais.

Embora existam soluções que prometem uma adequação rápida aos requisitos de privacidade, o processo exige uma análise muito mais profunda com relação aos controles existentes para segurança dos dados e uma verdadeira mudança cultural em relação à informação digital e à governança da privacidade.

Para esclarecer os principais desafios da LGPD de uma forma prática, conversamos com Remi Yun. Nossa convidada é advogada especializada em Gestão de Riscos e Compliance e trabalha na Suzano como Gerente de Privacidade e Proteção de Dados.

Continue a leitura e saiba como sua empresa pode trabalhar a conformidade com a LGPD de uma maneira prática e adequada ao seu negócio. Aproveite e faça uso do nosso checklist ISO/IEC 27701 usado como padrão internacional para proteção de dados com adequação a LGPD. Por último, confira nossa planilha de conformidade com a LGPD disponibilizada de forma gratuita.

Conheça Remi Yun, Privacy & Data Protection Manager na Suzano

Remi Yun é advogada especializada em Gestão de Riscos e Compliance com experiência na área jurídica, auditoria interna, implementação e gestão de canais de denúncias, bem como nas conduções de investigação de fraudes e fundadora do LGPD Acadêmico.

Cenário LGPD no Brasil

Para Remi Yun existe ainda um cenário de muitas incertezas relacionadas à LGPD devido à falta de estruturação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Ela explica como isso gera uma insegurança jurídica nas empresas, visto que ainda não possuímos maiores orientações ou ponto de referência para o funcionamento da regulamentação.

“Acredito que a vigência é sim importante, mas a entrada da ANPD é ainda mais importante. (…) Hoje, as empresas não possuem uma resposta ou orientação do que se espera. Temos visto por aí muitas referências das autoridades europeias, porém sabemos que nem sempre o que é aplicado em outro país vai ser feito por aqui também.”

Além disso, Remi acredita que ainda estamos no desenvolvimento de uma cultura de privacidade e proteção de dados pessoais no país. Em comparação com os países europeus, Remi explica como os consumidores e mercados possuem um comportamento com maior conscientização ao assunto, diferentemente do Brasil. 

Nossa convidada enxerga a existência da lei como um ponto positivo para o desenvolvimento da temática de privacidade e proteção de dados pessoais no país. Remi percebe a existência de um maior número de questionamentos por parte da sociedade em relação aos tratamento de dados das empresas e como isso está sendo diretamente relacionado à reputação dessas empresas.

Baixa Governança nas Empresas

Nossa convidada, Remi Yun diz que a maior dificuldade para as empresas se adequarem à LGPD é a baixa governança e gestão de dados das empresas. Segundo Remi, a LGPD exige um nível de controle e governança parecido com o que encontramos nos processos de Riscos e Compliance.

Remi complementa: “Para aquelas empresas que possuem um mínimo de controles de segurança como gestão de acesso, políticas e procedimentos mapeados e segregação de funções, a LGPD será muito mais fluída. (…) A maior parte das empresas com dificuldades em implementar a LGPD estão apenas arcando com as consequências de não priorizar a governança de dados anteriormente.”

Oportunidades Profissionais

Um dos pontos positivos trazidos pela LGPD é a oportunidade de trabalho para muitos profissionais de Segurança da Informação e Jurídico. A LGPD vem para exigir das empresas controles e processos básicos de Segurança, Riscos e Compliance para a implementação de um programa de privacidade e proteção de dados pessoais dentro das empresas. 

Essas práticas são comumente defendidas pelos profissionais de Segurança e Jurídico, porém dificilmente priorizadas pelas empresas. Com a LGPD, esses profissionais terão a oportunidade de desenvolver esses processos e aprimorar seus conhecimentos técnicos.

Remi conta a importância desses profissionais aproveitarem o momento e investirem em capacitação. Segundo ela, atualmente existe uma carência no mercado e a tendência é que o mercado demande cada vez mais a presença desses profissionais nas empresas.

Desafios da Autoridade Nacional de Proteção a Dados Pessoais (ANPD) 

A Autoridade Nacional de Proteção a Dados Pessoais (ANPD) é o órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Porém, até o presente momento a ANPD não foi completamente estruturada e possui apenas alguns profissionais nomeados para atuação.

Segundo Remi, apenas essa definição de conceito não é suficiente para entender a extensão de atuação da ANPD. Existem muitos questionamentos sobre o papel da ANPD e surgem muitas dúvidas e expectativas de como será sua atuação. 

Nossa convidada compartilha sua opinião sobre alguns dos principais questionamentos referentes a atuação da ANPD e esclarece o que as empresas podem fazer a respeito. 

Postura

Perguntamos a Remi a sua opinião sobre como seria a postura de trabalho por parte da ANPD. Nossa convidada acredita na construção de um perfil com um viés mais educativo do que punitivo seria o mais adequado para o país.

“Como hoje não possuímos uma cultura de privacidade e proteção de dados na sociedade, é preciso que a ANPD possua uma maior abertura pedagógica para com as empresas. (…) Eu acredito que é importante dar as mãos em conjunto com a sociedade para disseminar as boas práticas e após a conscientização realizar punições se necessário.”

Comprovação de Conformidade

Muito se tem falado sobre como as empresas podem comprovar a conformidade com a LGPD. Remi explica que hoje ainda não existe um certificado ou selo de comprovação definido pela ANPD, e por isso é preciso acreditar na boa fé e transparência transmitidas pelas empresas.

“Ainda não temos uma definição de como será atestado a conformidade com a LGPD nas empresas. O que eu tenho visto é algumas empresas conduzirem checklists e evidenciar os controles de adequação, como acontece em auditoria. (…) Porém, ainda é preciso acreditar na boa fé de que os controles existem e funcionam.”

Para Remi, a existência de um selo ou comprovação de conformidade com a LGPD pode evitar que as empresas preenchem vários questionários diferentes de fornecedores sobrecarregando os setores de Riscos e Compliance, por exemplo. Remi pontua que as empresas não devem ser orientadas a obtenção deste selo, mas devem prezar pelo real funcionamento de seus processos com transparência.

Expectativas Empresas Privadas x Governo

Remi compartilha conosco que existem altas expectativas de cobranças para o setor público, mas só será possível entender o funcionamento disso após a estruturação da ANPD.

Para Remi não é interessante que cada parte interessada atue de forma diferente, visto que as partes estão interligadas. Remi exemplifica: “Muitas informações precisam ser compartilhadas com o setor público. Por exemplo: benefícios, previdência social, carteira de trabalho e assim por diante. (…) O que eu quero dizer é que se não existir um trabalho em conjunto entre as empresas privadas e o governo, o processo como um todo pode ser comprometido. (…) Não adianta o setor privado estar em conformidade, e o governo sofrer um vazamento de dados expondo as informações de todo mundo.”

Outro questionamento comum é sobre a possibilidade da ANPD trabalhar com uma regulamentação diferenciada para pequenas, médias empresas e startups. Segundo nossa convidada, isso seria algo benéfico visto que essas empresas não possuem as mesmas condições e recursos de uma empresa de grande porte.

Estruturação do Programa de Privacidade nas Empresas

Para o início de um programa de privacidade dentro das empresas é preciso desenvolver processos e práticas básicas de Governança, Riscos e Compliance. O primeiro passo é a estruturação de uma governança corporativa visando entender e mapear o funcionamento das atividades dentro da empresa.

De acordo com Remi, sem o mínimo de uma governança corporativa é impossível seguir com a análise e classificação dos dados. Confira abaixo outras recomendações da nossa convidada para a estruturação de um programa de privacidade na sua empresa.

Equipe

A maior parte das empresas segue com a formação de uma equipe ou setor específico voltado para a conformidade da empresa com a LGPD. Muitas dúvidas são comuns sobre quais profissionais são os mais necessários e capacitados para compor esse time.

De acordo com Remi, é importante formar um time que possua um conhecimento holístico sobre os temas de privacidade e proteção de dados pessoais, bem como  de segurança, e acima de tudo conheça com profundidade os processos de funcionamento da empresa. O importante é que essa equipe consiga conectar a temática de privacidade e proteção de dados pessoais e faça a gestão de riscos entre as demais áreas da empresa. Afinal, a LGPD também é sobre gestão de riscos.

Programa Contínuo

Nossa convidada conclui com o esclarecimento sobre a conformidade com a LGPD se tratar de um programa contínuo dentro das empresas e não um projeto com prazo final. Remi questiona: “O que é ser conforme? A conformidade que eu priorizei na minha empresa e o meu risco são diferentes para cada empresa. (…) Você deve buscar a conformidade com as prioridades e destrezas que você define para sua empresa. Por isso, a adequação com a LGPD deve ser encarada como um programa contínuo. É algo que acontece todo dia e as empresas estão sempre adequando processos.”

Por fim, Remi esclarece o que é necessário para os pequenos negócios começarem a adequação com a LGPD. É importante começar o desenho e mapeamento dos processos existentes e após isso, reavaliar as políticas. Remi acredita que a ANPD verá essa organização com bons olhos e esse é o pontapé inicial para a conformidade.

Considerações Finais

Como você deve imaginar, não é fácil controlar todos esses processos e informações de forma manual. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre planos projetos. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core.

É possível importar planilhas na forma de um checklist associado a um projeto, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core  também envia um questionário para coleta de dados de outras áreas da empresa e de terceiros, de forma prática, ágil e com rastreabilidade, auxiliando e agilizando o preenchimento dos controles, reduzindo sensivelmente o tempo de adequação.

Além da LGPD, o GAT Core já inclui checklists de conformidade em cibersegurança e proteção de dados como CIS Controls V8NISTOWASP ASVSISO 27701 e outros, facilitando os processos e gerando economia significativa de custos. Para entender como funciona, solicite uma demonstração para obter uma visão integrada da gestão dos processos de conformidade. Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos