Home / Blog / A nova Lei Geral de Proteção de Dados Pessoais (LGPD) e o caminho das pedras para o Compliance…

Blog
DataStrategy

20 out - 2019

A nova Lei Geral de Proteção de Dados Pessoais (LGPD) e o caminho das pedras para o Compliance…

Sem dúvida nenhuma esse tem sido um dos assuntos de maior preocupação das empresas ultimamente, ou ao menos deveria ser. A Lei Geral de Proteção de Dados vem basicamente para regulamentar e responsabilizar as empresas sobre o uso de dados dos consumidores, sobre como os dados são coletados, utilizados, acessados, transmitidos, processados e armazenados. O consumidor passa a ter maior poder sobre os seus próprios dados, e a empresa (todas, independente do segmento ou porte – com apenas algumas exceções previstas na lei) ficará sujeita a penalizações por descumprimento da lei que podem chegar a R$ 50 milhões ou 2% do faturamento anual da organização (o que for maior).

Apesar da ANPD ainda não ter sido criada, a contagem regressiva já começou e as empresas terão até Agosto de 2020 para ficarem em conformidade com a lei.

CUIDADO PARA NÃO INVESTIR EM FALSAS SOLUÇÕES

Neste cenário, grande parte dos produtos de “prateleira” de empresas de software que de alguma forma tem relação com o assunto proteção/segurança de dados, ganham no seu rótulo e abordagem comercial o selo “LGPD”, que sem dúvida aumenta consideravelmente a pré-disposição dos potenciais compradores, porém, é fundamental distinguir o que pode ser uma ferramenta convergente com a lei, de uma solução que de fato resolva a questão do compliance. Uma coisa é certa, não há nenhuma ferramenta ou software mágico que resolva o problema.

QUAL O TAMANHO DO “BURACO”?

É grande! Na realidade atual da maior parte das grandes empresas brasileiras, existem diferentes ambientes e bases de dados onde são acessados, manipulados e armazenados dados cadastrais de clientes e consumidores. A grosso modo, há um ambiente de dados transacionais/operacionais (não é incomum existirem diversas bases com dados cadastrais duplicados/fragmentados), há um ambiente analítico como Data Warehouse, BI e o mais moderno “Data Lake” (também não é incomum existirem diversas bases analíticas, os famosos “Shadow BI” ou “servidores locais mantidos diretamente pelas áreas, e não administrados pela TI corporativa), e para completar, ainda existe um sem-número de bases de dados em planilhas Excel mantidas diretamente pelos próprios indivíduos que as utilizam.

Vou me apoiar em um exemplo simples para clarificar a conclusão sobre o tamanho do “buraco”:

Segundo a LGPD, entre outras coisas, o consumidor (dono do dado) terá o direito de solicitar a empresa que informe quais são os seus dados cadastrais mantidos por ela, e a empresa deverá informar quais são estes dados em um prazo muito curto. E para manter o cenário mais simples, vou deixar de fora do exemplo, mas é importante saber que além do direito de saber quais são os dados mantidos, o consumidor terá direito também a solicitar alterações ou até a exclusão dos seus dados (também com prazos muito curtos para resolução).

Pois bem, em uma realidade de dados espalhados (descentralizados), duplicados e em múltiplos ambientes (não controlados/governados), como operacionalizar uma simples obrigação da empresa de informar ao consumidor quais são os seus dados cadastrais mantidos por ela? Você concorda com o tamanho do buraco? Concorda que não há ferramenta mágica que resolva o compliance?

É certo que algumas ferramentas e soluções como Master Data Management (MDM), softwares de Governança de Dados para inventário/catálogo dos ativos de dados entre outras, podem sim reduzir a complexidade do plano para alcançar o efetivo compliance, mas ainda assim, é preciso um plano maior que centralize os dados cadastrais, com estabelecimento de processos de governança, políticas corporativas e que mude a cultura e as práticas de toda a população que manipula dados dentro da organização. O prazo parece mais curto agora?

Empresas de pequeno e médio porte deverão lidar com planos de menor complexidade, especialmente pela menor quantidade de sistemas e maior controle sobre a proliferação interna de bases de dados.

CAMINHO DAS PEDRAS PARA O COMPLIANCE….

No comum e complexo cenário de Dados de uma grande empresa (como exemplificado acima), é fato que as empresas precisarão investir dinheiro, esforço e tempo para conseguirem se adequar a LGPD.

Desde a aprovação da lei, houve uma forte e crescente procura das empresas interessadas sobre como avançar de forma prática na direção do compliance, e com base na minha experiência particular resolvi compartilhar minha visão do “caminho das pedras” através deste post.

1)    PARECER DA ÁREA JURÍDICA

Por se tratar de uma obrigação legal, a recomendação é que o primeiro passo seja a elaboração do parecer da área jurídica da empresa (com apoio de escritório de advocacia especializado ou não), que legitime a necessidade de engajamento das áreas internas, previsão orçamentária e compromissos, entre outros aspectos importantes).

2)    MAPEAMENTO DO CENÁRIO ATUAL

Como segundo passo, é recomendado que a área de TI (com apoio de consultoria externa ou não) realize o mapeamento do cenário informacional atual da empresa (com foco exclusivamente em dados cadastrais de clientes/consumidores) – Como são coletados, utilizados, acessados, transmitidos, processados e armazenados. Além disso, é importante também mapear os processos de negócios e respectivos impactos relacionados a uma possível descontinuidade das bases de dados “irregulares”/locais.

3)    MAPA DE RISCOS/IMPACTOS & PRIORIDADES NA VISÃO DO NEGÓCIO

Transformar a forma como os dados são manipulados e armazenados é importante segundo a LGPD, mas é fundamental que o negócio não corra riscos e problemas maiores em detrimento das mudanças.

4)    DEFINIÇÃO DO PROGRAMA & PROJETOS DE TRANSFORMAÇÃO

Baseado nas etapas de mapeamento dos ambientes (2) e Mapa de riscos (3), é recomendada a criação de um programa com os projetos de transformação para alcançar o compliance com a LGPD. É importante ressaltar que um programa de transformação como este possivelmente abrigará projetos de diferentes naturezas técnicas como de integração de sistemas, camada analítica, interfaces, além de projetos voltados a processos de governança de dados e mudança de cultura.

Para aqueles que preferem “sair fazendo”, talvez os pontos abaixo sirvam como norte para elaborar um plano de ação*.

a) Mapeamento (Discovery) e inventário das fontes de dados cadastrais

b) Segurança da Informação & Mascaramento de Dados

c) Arquitetura informacional & Integrações

d) Gestão da Qualidade de Dados

e) Interfaces e canais com os consumidores

f) Gestão do consentimento dos consumidores

g) Gestão de incidentes

h) Políticas internas de Governança de dados

i) Cultura interna de segurança e privacidade de dados

(*) Adequar-se a LGPD significa mudar drasticamente a forma como a organização lida com os seus ativos de Dados. Um plano de ação completo envolve um grupo multidisciplinar (negócios, tecnologia, jurídico, governança corporativa, governança de dados, RH), portanto é recomendada a criação de um programa que seja patrocinado pela alta direção da empresa.

Espero que este conteúdo tenha sido útil e agradeço pela leitura, ainda mais se você chegou até aqui!

Uma ótima jornada ao Compliance para LGPD.

 

Sobre o Autor

Pós-graduando do curso de Business Analytics & Big Data pela FGV, Marcos Palmeiro é fundador e o principal Consultor na DataStrategy, especialista em Data Driven Business Transformation, Data Compliance e Data Quality. Com mais de 15 anos de experiência nesta área, atuou ao longo deste período em projetos de Database Marketing, Inteligência comercial, Dados Não Estruturados, Qualidade de dados e Governança de Dados em grandes empresas de Telecomunicações, Bancos, Varejo, Seguros e Serviços Financeiros (Bureau de Crédito).

Gostou? Compartilhe
Artigos e Notícias

DataBlog

todos os expertises
recentes primeiro
5 resultados
20.10.2019
data-driven-business
Não sei dizer quando exatamente surgiu o conceito Master Data Management (mais conhecido...
20.10.2019
lgpd
Sem dúvida nenhuma esse tem sido um dos assuntos de maior preocupação das empresas ultimamente, ou...
20.10.2019
lgpd
"Elefante na sala", serve para descrever situações onde os envolvidos tendem a ignorar algum fato em...
20.10.2019
data-quality
A expressão veio de um colaborador da IBM há algum tempo atrás, como uma abordagem simples para explicar...