Page 8

sumidor, práticas de RH, postura dos colaboradores e até questões de cultura corporativa. Com este cenário, uma opção consistente de preparação é, à semelhança da área de Administração e Contábil, realizar um Assessment LGPD na empresa para compreender suas práticas atuais de proteção de dados, o que a nova legislação está requerendo e qual é este “gap” entre as duas dimensões. Nesta análise, focamos em três aspectos principais: negócios, jurídico e TI, levando-se em consideração não somente a própria LGPD, como também os códigos internacionalmente reconhecidos para a segurança da informação e o gerenciamento de riscos. Neste trabalho, o primeiro passo é identificar claramente quais dados de pessoas físicas a empresa armazena, ou tem contato. A natureza deles também é algo a ser estudado, pois quanto mais sensível a informação, maior o potencial de dano e nível de segurança exigido. Passamos então à análise do lugar ou maneira como estes dados são armazenados, ou seja, em sistemas, e-mails, planilhas, contratos, notas, recibos etc. Chegamos então a uma das principais novidades da LGPD, a avaliação ou mesmo desenho dos procedimentos de obtenção de consentimento das pessoas para

utilização de dados. Aqui, a situação começa a complicar mais, pois não basta ter o procedimento para permitir a utilização, a lei exige que a empresa possa rastrear posteriormente como os dados das pessoas são utilizados, quem os utiliza, para qual propósito e por quanto tempo. Logo, algo complexo que demanda tanto sistemas de TI, como processos, treinamento de equipe e até a criação de métodos de auditoria. Há também uma situação inteiramente nova que precisa ser endereçada: procedimentos efetivos para garantir o direito de remoção dos dados pessoais quando assim solicitado. Em um olhar superficial, pode parecer algo simples. Mas não é! Imagine o desafio de remover um dado de empresas de porte nacional, com vários canais de venda, bancos de dados, integração com fornecedores e subsidiárias de um mesmo grupo. Sem contar os itens mais práticos: quem vai receber este pedido? De que forma? Qual é o prazo de exclusão? Como o cliente ‘proprietário’ é avisado? Ou seja, é toda uma nova atividade dentro da empresa que precisa ser desenvolvida. A empresa precisa se preparar para um eventual vazamento de informações. Além das multas, a Lei prevê que este fato deve ser comunicado publicamente. Logo, as empresas devem ter bem claro: quem cuida das informações, como são monitorados vazamen-

tos, quem compõe o time de crise para tomar as decisões de forma rápida, dentre outros. Em paralelo a tudo isso, as empresas devem reavaliar contratos, tanto com fornecedores quanto para o time interno, engajar a equipe e comunicar adequadamente as mudanças aos públicos envolvidos, definindo quais pontos devem ser tratados, por quem e em qual prazo. Todas essas questões demandam tempo, não somente para as adequações, mas para que as partes envolvidas concordem acerca das mudanças necessárias. Essa é a principal razão para que se estabeleça um senso de urgência para as ações rumo à LGPD. Quanto mais tempo a empresa demorar para começar, menos tempo terá para ajustar o que for preciso e ter confiança nessa curva de aprendizado, necessária e inevitável. As sanções administrativas e multas são pesadas e passam a valer a partir de agosto de 2020. Dependendo da maturidade da empresa e do ramo de atuação, as mudanças e a transformação podem ser gigantescas. A LGPD pode enterrar estratégias/ações de captação de clientes para venda de produtos e serviços e até mesmo inviabilizar negócios inteiros. Por isso, recomendo que este assunto esteja o quanto antes na pauta principal das lideranças e não perca seu senso de urgência.

Profile for Editora Guia

Revista IIMA 84  

Revista IIMA 84