Sancionada a Lei Geral de Proteção de Dados (LGPD): e agora? Um plano para seus próximos 18 meses

Neste mês de agosto, entramos no mapa mundial da proteção de dados pessoais. Inspirados por leis de outros países, e em especial na regulamentação europeia GDPR (General Data Protection Regulation), tivemos um expressivo avanço no Congresso Nacional do nosso PL 53/2018, que tramitava desde 2010. Após essa longa gestação e a recente sanção presidencial, temos agora nossa Lei Geral de Proteção de Dados (LGPD). A eficácia plena da lei se dará a partir de fevereiro de 2020, ou seja, o prazo para adequação é de 18 meses.

A LGPD vem para complementar e consolidar os direitos que antes estavam esparsos em diferentes normas que tratavam direta ou indiretamente do tema de proteção e privacidade de dados pessoais. Com o novo texto, busca-se maior clareza e estabilidade jurídica para garantir direitos individuais e, mais que isso, fomentar o desenvolvimento econômico, tecnológico, inovação e inserção na economia global, na qual o tema se torna cada vez mais essencial para negócios.

A LGPD tem aplicação transversal e multisetorial, tanto no âmbito público quanto privado, e mesmo empresas estrangeiras que tiverem filiais no Brasil ou oferecerem serviços no mercado nacional e coletarem dados de cidadãos brasileiros estarão sujeitas a ela.

É um grande avanço para o País, mas a pergunta que no momento todos se fazem é: e agora, o que devo fazer?

Abaixo apresentamos uma estrutura de plano de ação para os próximos 18 meses, com o simples intuito de ser uma referência ou um guia para o caminho que se inicia. É certo que há muitas peculiaridades dos negócios que afetarão o modo como cada organização deve planejar-se, como setor, tamanho, grau de exposição, maturidade atual dos temas de cibersegurança e proteção de dados pessoais, processos de aprovação e contratação (em especial do setor público), orçamento, capacidade de execução etc. Ou seja, é claro que não há um único caminho. Também é verdade que no espaço deste artigo é impraticável buscar detalhar todas as considerações aplicáveis. Inclusive, muitas atividades colocadas em sequência aqui poderão ser paralelizadas quando da adaptação deste plano para a realidade de sua empresa. De qualquer forma, entendemos que o modelo que segue pode servir para uma reflexão inicial e uma referência, e para pôr um pouco mais de luz no tema:

• 1º mês: a meta para o final deste primeiro período é ter os principais executivos da organização conscientes da existência da norma, do prazo de 18 meses para adequação, das implicações em não estar conforme (que incluem diversas sanções, como multa de 2% do faturamento ou R$ 50 milhões) e, portanto, conscientes de que o projeto que está por vir é necessário. Esse passo é fundamental para assegurar o patrocínio executivo desde o início. Recomendamos também o estabelecimento de uma cadência de reuniões executivas sobre o tema – por exemplo, incluir essa pauta em agendas executivas mensais já existentes. Com isso, a diretoria tem mecanismos para acompanhar o avanço dos trabalhos, identificar prontamente problemas e pendências, e definir ações para correção da rota. Recomendamos, ainda, a nomeação de um líder para encarregar-se do projeto, líder esse que deve ter responsabilidades claras para toda a organização. Vale lembrar que a conformidade não será responsabilidade única de quem assumir essa liderança; esse terá mais um papel de facilitador. Afinal, a segurança e a conformidade são responsabilidades de todos. O líder pode ser o Data Protection Officer (DPO) ou um profissional de confiança da organização para o período de transição, enquanto se busca um DPO definitivo.
• 2º mês: ao final do segundo período, deve-se ter uma versão preliminar de plano de trabalho para os 18 meses, com estimativa orçamentária. Nesse momento a organização ainda carece de informações para um plano detalhado e orçamento preciso, por isso uma versão preliminar. De qualquer forma, recomenda-se que a primeira atividade que conste do plano seja uma avaliação do estado atual de cumprimento da organização à LGPD (Gap Assessment), e que o mesmo já se encontre orçado para que na reunião de diretoria possa ser apreciado juntamente com o plano de trabalho e, idealmente, já saia aprovado para contratação. Por uma questão de prazo, foco e energia que será requerida, recomendamos sempre que possível que essa análise seja realizada com apoio de um time de consultores externos.
• 5º mês: ao final desta etapa a organização já deve ter uma noção adequada do nível de exposição que tem, quais iniciativas são requeridas para conformidade, bem como uma estimativa mais precisa do investimento necessário, assim como do esforço e do tempo requeridos. Os entregáveis da análise devem ser: um mapeamento da exposição (quais informações pessoais são coletadas, processadas e armazenadas, em quais sistemas, para quais fins), quais os níveis de controle já existentes, deficiências e oportunidades de melhorias encontradas, ações recomendadas, priorização em um roadmap para os meses seguintes. Esse documento já estabelecerá as bases para o Relatório de Impacto à Privacidade, bem como para os Registros de Atividades de Tratamento requeridas pela LGPD.

A reunião de diretoria seguinte ao final do trabalho de consultoria de avaliação é essencial, portanto, para dar respostas e tomar decisões. As decisões serão baseadas em quatro tipos:

1. Quais riscos serão evitados: por exemplo, ao determinar-se que algumas informações pessoais (sensíveis ou não) não são essenciais ao negócio, e podem deixar de ser coletadas daqui para frente.
2. Quais riscos podem ser transferidos: por exemplo, definindo-se que determinados conjuntos de dados serão tratados por terceiros.
3. Quais riscos serão aceitos: basicamente aqueles que já estiverem em um nível aceitável de conformidade.
4. Quais riscos precisam ser reduzidos: quais dados requerem uma proteção maior que a dada atualmente, ou seja, vão requerer a implementação de controles específicos, que no final do dia são diferentes projetos, de maior ou menor tamanho, compondo um portfólio.

Com isso, já tendo visibilidade da situação atual e decidido os principais projetos do portfólio para conformidade, a organização pode focar-se no detalhamento dos projetos – que é a próxima etapa.

Ainda nessa fase de análise, faz-se necessário identificar projetos em andamento que podem impactar a conformidade e definir forma de tratamento dos mesmos – podendo ser desde mecanismos de verificação até o cancelamento de iniciativas (por exemplo, aquelas do tipo 1 acima).

• 6º mês: dentre os projetos identificados, é possível que surjam padrões de contratação de serviços de terceiros (como fábricas de software) ou mesmo padrões para projetos internos que visem assegurar que nenhum novo projeto se inicie na organização sem o conhecimento da LGPD. Iniciativas em andamento já foram identificadas na fase anterior e tratadas; porém, agora é imprescindível garantir que nenhuma outra comece fora do "radar", sem ter a privacidade como parte do desenho ("Privacy by design"). Afinal de contas, com a LGPD torna-se obrigatório adotar desde a concepção de serviços, produtos e modelos de negócio à prática de se garantir direitos de proteção à privacidade e aos dados pessoais. Isso para não falar que é bom senso tratar os requerimentos de negócio, incluindo regulatórios, como parte inicial de qualquer projeto enquanto da compilação dos requerimentos. Esse deve ser o objetivo a perseguir nesse mês.
• 7º mês: ao final desta etapa, recomenda-se que a organização já tenha detalhados e aprovados para cada projeto: escopo, requerimentos técnicos, resultados esperados, critérios de avaliação, orçamento reservado, termos e condições das contratações, potenciais provedores de soluções, entre outros. Com esses temas, o processo de contratação mais formal visando receber propostas técnicas e comerciais já pode começar. A partir dessa etapa, no entanto, as mais diferentes iniciativas vão começar – algumas de fato vão requerer a contratação de soluções de terceiros nos moldes apontados acima. Outras, no entanto, vão depender mais de adaptações internas de processos, as quais podem ser realizadas por recursos próprios ou de terceiros, dependendo do tamanho do desafio e/ou da capacidade de execução da organização.
• 10º mês: ao final desta etapa, as soluções a contratar já devem ter sido escolhidas e contratadas, de acordo com as condições definidas na etapa anterior. Conscientizar, planejar, construir são etapas fundamentais, mas agora é hora de executar! Conforme exposto anteriormente, a duração da fase de execução vai depender da complexidade dos projetos, bem como da quantidade. Vamos assumir nesse plano que seis meses é um período razoável para a maioria dos projetos identificados, e com isso deixamos como contingência dois meses finais para uma nova rodada de testes e análises de conformidade que vão permitir ainda dar tempo para ajustes finais necessários.
• 16º mês: conforme exposto acima, esta penúltima etapa deve marcar o final dos trabalhos de execução dos projetos apontados no plano de um ano atrás. A meta nesse momento é ter os projetos encerrados, para que, a partir de agora, se possa focar em testes finais, verificações dos controles implementados, com uma nova análise e documentação, de forma a assegurar o cumprimento, permitindo ainda tempo hábil para eventuais ajustes.
• 18º mês: a meta nesta etapa é clara, e dada pela LGPD: após 18 meses, ou 72 semanas de muito trabalho e dedicação, a empresa deve nesse momento estar adequada, com os controles e papéis estabelecidos conforme requerido. Parabéns aos envolvidos!

Avalia-se que a LGPD terá um impacto na sociedade como poucas leis antes tiveram, uma vez que, cada vez mais, com o emprego da tecnologia da informação e a constante Transformação Digital, praticamente toda e qualquer prática se vale do uso de dados – muitos deles, pessoais. Empresas de todos os setores terão que se adaptar e uma nova cultura sobre o uso adequado de dados deverá ser formada.

Trata-se de um desafio em qualquer país do mundo, e talvez em especial para o Brasil, onde o nível geral de maturidade para os temas de cibersegurança, privacidade e proteção de dados pessoais ainda é baixo. Mas o mundo mudou e o Brasil está mudando também; trata-se de um caminho sem volta. Esperamos que as ideias apresentadas acima como um plano de referência contribuam para tornar o processo um pouco menos desafiador.

Leonardo Carissimi, diretor de Soluções de Segurança da Unisys na América Latina.