Por Celina Balocco e Pietro Tranquilini
Todos sabemos que a jornada de adequação à LGPD é bem árdua, contínua e que veio para mudar a forma em que as empresas tratam os dados das pessoas para sempre. Quando mergulhamos nesse tema, vimos o tamanho do universo, abrangência do assunto e, por consequência, as limitações e paradigmas que tínhamos que enfrentar. Não é para ter medo ou desistir, há meios de chegar lá, porém precisa de organização e priorização! Não existe nenhuma fórmula mágica, bala de prata ou receita de bolo pronta para toda e qualquer companhia (“one size fits all”), pois cada empresa é única e tem suas peculiaridades. Desde a nossa experiência, podemos compartilhar algumas dicas e lições aprendidas que talvez sejam úteis para a jornada de vocês. Listamos abaixo os 5 principais pontos e fatores de sucesso que contribuíram para o nosso Case e espero que possam servir como guia ou apoio para vocês:
1. Tone of the top: Engajamento da Liderança/Alta Administração – Este é um item de extrema importância para o sucesso do projeto. O comprometimento e responsabilização de todas as áreas é essencial e, para isto, precisamos da conscientização de todos. Não se discute que para obter resultados em termos de conscientização, o apoio da Liderança e Alta Administração resulta mais do que necessário, obrigatório. Mas como sensibilizar essa parte da Companhia? Nossa experiência nos levou a fazer uma avaliação de riscos das operações globais da Companhia e mostrar consequências em termos de imagem e reputação, bem como regulatório e financeiro. Porém, além desta abordagem de consequências financeiras como multas com montantes exorbitantes (EUR $50MM ou 4% do faturamento/receita global), somos uma empresa focada em pessoas e, para respeitar nossos valores e princípios, temos que cuidar dos dados pessoais de forma diferente dos demais dados da organização. Decidimos então mostrar que tipo de limitação traziam as leis de privacidade e quais deficiências nós enfrentávamos. Foi assim que surgiu o Programa Global de Privacidade na Companhia, e permitiu a replicação desta abordagem de forma TOP-DOWN. Nossa bandeira não foi apenas estar em compliance com a LGPD, tanto que não paramos os projetos quando começaram as discussões de: “Quando entrará em vigor a Lei no Brasil? A Lei vai pegar?”. A nossa motivação sempre foi: O porquê fazemos? Qual é o nosso propósito? Independentemente da obrigação das empresas em se adequar às Leis e Regulamentações de Proteção de Dados no mundo, precisamos que entendam e tenham a consciência da importância e o valor da privacidade, principalmente nos dias de hoje! Devemos tomar um cuidado maior ao tratar estes tipos de dados pessoais: não é qualquer dado, como um dado financeiro, contábil ou comercial, temos que lembrar que existe um indivíduo único e singular por trás daquela informação. Esse dado não é da TI, não é da Companhia, é do titular, de cada um de nós! Privacidade também traz valor para o negócio e começa a ser um pré-requisito básico e essencial para qualquer tipo de negociação ou contrato que fazemos com clientes e fornecedores. O mercado global está passando a exigir cada vez mais essa adequação e preocupação com o tema, afinal proteger/respeitar a privacidade e ser transparente no tratamento de dados gera confiança. Desta forma, conseguimos trazer as pessoas para perto e que “joguem este jogo” com a gente, mostrando o real impacto e exposição que um vazamento pode causar aos indivíduos!
2. Globalização: Leis e Níveis de Maturidade Distintos – Nossa atuação global (Brasil, Europa, USA, México, Argentina, Colômbia, Chile, Ásia) nos coloca numa posição na qual temos que entender diferentes culturas, perspectivas e pontos de vistas! Enquanto alguns países possuem leis mais rígidas, com mais de 40-50 anos no assunto e maturidade elevada, outros banalizam o real valor de seus dados pessoais ao deliberadamente divulgar seu CPF na nota em farmácias e lojas, por exemplo. A fim de equalizar os esforços ante tal disparidade sobre o tema, decidimos definir uma política global de privacidade, para que os dados pessoais sejam tratados sempre igual dentro da Companhia. E como fizemos isso? Consolidamos todos os principais princípios, requerimentos e conceitos das Leis de Proteção de Dados aplicáveis aos nossos negócios e criamos uma única Política Global de Privacidade e Proteção de Dados Pessoais. Para isto, também foi necessário definir uma governança e estrutura global com recursos locais que conhecem as peculiaridades e especificações de cada região, bem como assinar os Acordos de Transferências Internacionais exigidos por cada país. Argentina e Colômbia por exemplo, trabalham muito na base do consentimento. No México, as pessoas possuem uma certa consciência no tema, principalmente quanto aos dados bancários, salário, imagens, vídeos, geolocalização, assinatura, isto porque há um risco e preocupação quanto à segurança e integridade física das pessoas (possíveis sequestros, roubos, assaltos, etc). Nos EUA, embora não exista nenhuma lei federal sobre o tema, os indivíduos tem consciência e prezam pela privacidade, principalmente por serem céticos e temerem o poder/controle/vigilância excessivo do governo. Mesmo sem lei vigente ou autoridade formada aqui no Brasil, o ponto que devemos focar é no direito de privacidade de cada indivíduo e o quanto isso está sendo mais visto e difundido no mundo, no âmbito pessoal e profissional.
3. Grupo Multidisciplinar: Aliança Estratégica – Este é um tema crítico, porém polêmico e controverso. Todos já sabemos da relevância do assunto e do tamanho do fardo e responsabilidade que o cargo de Encarregado/DPO assume ao aceitar essa posição. Devido à abrangência do assunto e quantidade de trabalho e atividades envolvidas, mais do que necessária, é obrigatória a cooperação e união de perfis e skills complementares de várias áreas para chegar em um objetivo comum. No nosso caso, criamos um GT (Grupo de Trabalho permanente) formado por Segurança da Informação, Jurídico e Gestão de Riscos. Para chegar neste ponto, fizemos várias análises que envolveram desde a avaliação de conflitos de interesses, background técnico e da Companhia e definimos de forma conjunta a criação de uma posição de Liderança para a Coordenação do Programa de Privacidade Global na área de Gestão de Riscos Corporativa, bem como a criação de um Comitê Global de Privacidade.
4. Otimização: Eficiência Operacional – Nossa abordagem se baseou na desmistificação de que precisamos gastar fortunas e contratar diversas ferramentas ou consultorias (Big Four) a fim de estar em compliance com as Leis de Privacidade. Nossa primeira premissa foi não querer abraçar o mundo de uma só vez, dar um pequeno passo de cada vez, portanto começamos com planilhas e formulários, de forma manual, identificando onde estavam os principais dados pessoais, quem usava e em quais sistemas e ferramentas. Parece pouco, mas isso nos permitiu ter uma ideia do esforço, saber que tipo de soluções procurar e saber se tínhamos base legal para tratar esses dados pessoais. Posteriormente, com essa visão inicial e, se necessário, então vale a pena investir e evoluir para ferramentas em ambientes mais críticos/utilizados pela Companhia. Importante ressaltar que sistema não faz milagre! Claro que nos auxilia bastante e nos direciona no caminho correto, mas se não temos os processos bem definidos e as pessoas bem informadas/capacitadas, o sistema não serve de nada. Aliás, dependendo da situação, um data discovery de uma ferramenta pode mais nos assustar e nos confundir de por onde começar do que ajudar, ou seja, pode ser mais um problema do que uma solução.
Considerando ainda o grau de entendimento das diferentes áreas que tratam dados pessoais e os temores que suscita fazer um tratamento errado, principalmente quando envolve dados sensíveis, ponderamos se realmente seria necessário contratar uma consultoria para levantamento/data mapping inicial. Ninguém melhor que alguém da empresa para explorar este assunto. Estamos convencidos que as pessoas e áreas entrevistadas se sentiriam mais confortáveis em compartilhar os dados e preocupações para nossa equipe interna do que uma empresa terceira, que pode aparentar uma “auditoria externa”. Mas todas essas considerações e ponderações variam de empresa para empresa, o que funcionou para nós, pode não servir para outra empresa com cultura totalmente distinta da nossa.
Uma questão que é inegociável nesta jornada e, independentemente, se o data mapping seja manual ou automatizado, é a avaliação da aderência dos processos/atividades com as bases legais, propósitos e princípios das Leis, bem como possíveis oportunidades de melhorias. E aqui sim resulta essencial ter um respaldo/parecer mais técnico e independente de um escritório de advocacia especializado no assunto, como a Opice Blum no nosso caso. Uma outra questão fundamental é a capacitação e certificação da equipe (cursos preparatórios para EXIN – Data Foundations e Practitioner, bem como IAPP – CIPP e CIPM), de forma que tenha bagagem e gabarito no assunto, pelo menos teórico, pois na prática, só com o tempo e experiência mesmo.
5. Foco: Priorizar o que Realmente Importa – Com pouco tempo, poucos recursos e com tantas demandas, nunca foi tão importante priorizar os esforços e focar no que realmente é relevante! Existem diversas mudanças e iniciativas que deverão ocorrer na Companhia (geralmente em paralelo com outras), algumas mais longas, complexas e que demandam planejamento bem estruturado, outras Quick-Wins que podem ser facilmente implementadas. É muito importante ter a visão do todo e saber quais “brigas/guerras” vale a pena comprar no momento certo, qual realmente vai trazer ganho e maturidade para a Companhia, tentando sempre mitigar ao máximo os principais riscos mapeados. Se conseguirmos identificar nossas maiores fragilidades e pontos de dor, fica muito mais fácil mitigar e cobrir esses riscos. Lembrando claro que é um processo vivo e contínuo, que muda constantemente (recursos – tecnologia/sistema, processos/procedimentos e pessoas). Então a jornada é só o início, o primeiro passo de um ciclo que deve ser contínuo, um loop infinito de melhoria contínua (detectar, gerenciar, proteger e responder). Mas com toda a certezas precisamos de muita determinação, coragem e ousadia para este ponta pé inicial. Não é nada simples e fácil. Mas quando menos esperamos, já estamos no caminho certo e, isso, nos enche de orgulho!
Conclusão:
“Sabemos que ainda temos muito a fazer e um longo caminho a percorrer, mas isso não nos desanima, pelo o contrário, o desafio é enorme, mas é o que nos motiva a continuar trabalhando no que acreditamos!
Temos ciência de que esta mudança leva tempo, não será da noite para o dia, mas temos certeza de que é um caminho sem volta. Cada dia mais, com tantos discursos de ódio, fake news, invasão de privacidade e problemas (em tecnologia, em política, em qualquer lugar), são todos problemas humanos. Porém estamos dispostos e, agora, acreditamos que muito mais confiantes, preparados e maduros para enfrenta-los!
Esperamos que este breve relato do nosso Case tenha contribuído ou agregado de alguma forma na vida de vocês, seja profissional ou pessoal, e que se juntem a nós nessa jornada! Gostaríamos de encerrar apenas com a seguinte pergunta/reflexão: já pensou que mundo você quer deixar para seus filhos? O que você está fazendo no momento para torná-lo melhor?”
Celina Balocco é Líder Global de Gestão de Riscos Corporativos e Privacidade na Braskem, formada em Engenharia de Sistemas e certificada em CRMA, CRISC, COBIT, com mais de 20 anos de experiência em serviços de auditoria e consultoria. Atual Líder e Coordenadora do Comitê Global de Privacidade e membro do Comitê Global de Segurança da Informação da Braskem, bem como membro do Comitê de Conformidade da Cetrel.
Pietro Tranquilini é Especialista de Privacidade e Proteção de Dados na Braskem, responsável pelo Programa de Adequação na América do Sul, incluindo a LGPD no Brasil. Formado em Ciência da Computação e certificado em COBIT e PDPF, com 10 anos de experiência em áreas de Compliance/Conformidade, incluindo Gestão de Riscos, Controles Internos, bem como serviços de Consultoria e Auditoria.
