Nos últimos meses temos lido e ouvido muitas pessoas comentando sobre o que é a Lei e os impactos que ela tem sobre nossas empresas e sobre nossas vidas. Respeito tudo isso, participei de várias discussões e conversas. A questão que trato neste teste é mais prática, quero falar sobre o plano de trabalho para atender a Lei. Muito do que escrevo aqui são de experiências com outras pessoas envolvidas na LGPD, com quem quero dividir o crédito das informações a seguir.
Para começar é bem importante lembrar, e isso é a base do plano de trabalho, que a LGPD não é um problema da área de Tecnologia da Informação (TI) e/ou da área Jurídica. É um problema da organização (empresa se preferir). Isso significa que TODOS, sem exceção, estão envolvidos.
PARTE 1: Defina a estratégia de trabalho para tratar a LGPD. Não cometa o erro de simplesmente sair fazendo proteção, comprando solução tecnológicas, etc. A sua estratégia deve contemplar a participação das áreas de negócio, da TI, do RH, do Jurídico, do Marketing, do corporativo. Organiza um Grupo de Trabalho multidisciplinar com pessoas que vão se dedicar a fundo, eles serão os LPDs (líderes de privacidade de dados locais). Para que nenhum dado fique de fora da PARTE 2, os LPDs são as pessoas que conhecem muito os processos de negócio que envolvem dados pessoais e dados pessoais sensíveis. Por falar em dados, a definição de dados pessoais é a mais fácil de entender e de localizar (isso nós ouvimos e lemos nos últimos meses), mas a parte mais complexa são os dados pessoais sensíveis. Para facilitar o entendimento, os dados pessoais sensíveis são os dados que, associados aos dados pessoais, podem gerar constrangimento (simples assim). Além de coletar os dados pessoais sensíveis, lembre-se que possivelmente sua organização gera estes dados também. Um exemplo são os dados de um aluno na escola: as notas deste aluno, quando associadas ao aluno, são consideradas dados pessoais sensíveis. Imagine um aluno com péssimo rendimento escolar e isso sendo publicado no facebook. Neste ponto já é possível definir a estratégia com as pessoas, componentes e processos de negócio, conhecimento de dados, papéis e responsabilidades, quem é o responsável maior definido como Encarregado (ou DPO). A próxima fase é a criação e manutenção do inventário de dados.
PARTE 2: É preciso saber dos dados, onde eles nascem, o que se faz com eles (você vai precisar saber disso para os termos de consentimento), onde estão armazenados, quais não são obrigatórios, etc. Na verdade, esta fase chamamos de Inventário. É aqui que identificamos o ciclo de vida dos dados, assim como identificamos quais dados são criados deste processamento. Um bom caminho para fazer o inventário é seguir os processos de negócio, desde o mais simples cadastro, atendimento telefônico, até os mais complexos que utilizam como entrada de dados as informações constantes em Banco de Dados. Esse é o principal papel do LPD, pois por ser da área, ele conhece os detalhes não formalizados, os formulários de papel que são digitados em sistemas e depois arquivados de maneira duvidosa, etc. Outro ponto importante aqui é a definição de dono da informação, pois sim, é a Área de Negócio. Uma maneira bem eficiente de montar o inventário é através de um “check-list” ou “template” que identifique a área, processo, dados coletados, motivos, obrigatoriedade, qual o tratamento que eles recebem, dados gerados, onde são armazenados, etc. É aqui nesta fase que se descobre onde nascem as “planilhas Excel” com dados pessoais e para onde vão (que no projeto de DLP nunca deu certo...).
PARTE 3: Análise de GAP. Chegamos ao ponto onde já sabemos o que queremos fazer, qual a equipe, quais os dados envolvidos (pessoais e pessoais sensíveis) e em quais processos de negócio. Agora é o momento de identificar onde estão os problemas (de lidar com os dados pessoais e sensíveis) e quais as formas de corrigi-los. Muitas das correções ocorrerão nos processos de negócio, pois estatisticamente eles são bem falhos em proteger os dados (pois seu foco é fazer o negócio), mas também terão proteções tecnológicas (aqui sim a equipe de segurança da informação vai ajudar) em aplicações, banco de dados, criptografia, ferramentas de anonimização e pseudoanonimização, definição do portal de privacidade (falarei na PARTE 4), definição do Programa de Gestão de Privacidade, definição do investimento financeiro e temporal necessário para “arrumar a casa”. É justamente nesta fase que a dor aparece, pois até a PARTE 2 estávamos “reconhecendo o terreno”. Aqui é momento em que o DPO (ou Encarregado) mais precisa de apoio, força e resiliência.
PARTE 4: Governança de Dados. Esta fase é dedicada a criação e/ou alteração das políticas de privacidade de dados, de segurança da informação, entre outras. Aqui também se inicia a construção do Portal de Privacidade. É neste portal que o PORTADOR acessará para: saber quais dados sua organização possui, quais são os termos de consentimento e se ele quer revogá-los, onde ele solicita a deleção de dados (seguindo as demais Leis vigentes), onde ele faz o download de seus dados pessoais e pessoais sensíveis para transferir para outra organização, e assim por diante. Aqui a estrutura do DPO fica bem mais definida e o grupo de trabalho pode se tornar uma área independente e autônoma, como a Auditoria Interna por exemplo. Nesta fase o DPO deve ter o mapa dos dados, das interações com outras organizações (OPERADORES, por exemplo), assim como a visão geral de como é o Programa de Gestão de Privacidade.
PARTE 5: Proteção dos Dados. Esta fase é onde acontece a execução dos planos de ajustes/correção/proteção dos dados definidos na PARTE 3. Nesta fase ocorrem as alterações/melhorias nos processos de negócio visando a proteção dos dados, assim como a aplicação de controle tecnológicos como DAM, AM, IDM, DLP, criptografia, mascaramento de dados, etc. Nesta fase é sempre importante fazer avaliações pós implementações, para assegurar que as mudanças e ou controles estão atingindo seus objetivos. O maior risco que acontece aqui é o que chamamos de “deixa que eu deixo”, ou seja, fazer uma mudança parcial achando que um outro controle vai “dar conta do recado” e vice-versa. Nesta fase o Portal de Privacidade já iniciar a operação e ir absorvendo novas funcionalidades a cada momento. Os termos de consentimento já devem existir nas versões 1.0. O Programa de Gestão de Privacidade deve estar em andamento, com controle forte sobre novos processos e demandas que o negócio exige, através do conceito “Privacy by Design”. Este conceito faz com que cada novo projeto, sistema, processo ou o que for utilizar dados pessoais e dados pessoais sensíveis já nasça no Inventário, com a análise de GAP e controles estabelecidos.
PARTE 6: Revisão pós Implementação. Esta fase é como se fosse uma auditoria seguida de Análise de GAP. O objetivo é avaliar os controles dos processos e tecnológicos, o portal de privacidade, as políticas e uma revisão detalhada do Programa de Gestão de Privacidade. Assim é possível definir uma linha de base (ou baseline se preferir) para o Programa, ter certeza que a conformidade com a Lei está ok, avaliar a estrutura do DPO e seus processos, fazer as correções necessárias. Em outras palavras é saber que a primeira grande missão que era a de estabelecer o Programa de Gestão de Privacidade. Agora vem a segunda missão, manter o Programa de Gestão de Privacidade saudável, atualizado e 100% eficiente.
Bom trabalho e mantenha atualizado!