Por Fabio Soto *
Presenciamos um excesso de informações relacionadas à Lei Geral de Proteção de Dados (LGPD), mas o fato é que, apesar de uma agenda tão intensa sobre o tópico, ainda há baixa maturidade nos processos e muitas dúvidas em grande parte das empresas de todos os portes e segmentos.
Em uma análise por inferência, nota-se um certo conforto de conhecimento com relação à Lei, graças ao trabalho de competentes profissionais da área jurídica, que vêm tratando o assunto nas empresas e tornando-o de mais fácil entendimento.
Entretanto, por se tratar de uma Lei que interfere nos processos e áreas distintas das empresas como Jurídico, TI, segurança da informação, controles internos, auditoria, contabilidade e outros, ela traz também uma enorme complexidade para sua operação. Ou seja, por mais que se conheça a Lei, suas exigências e penalidades, será necessário conhecer profundamente quais as formas de operação e de garantir o cumprimento.
Para compreender melhor tal complexidade de operação, listo algumas das atividades cruciais que são base para a operacionalização dos processos na busca pela adequação:
Mapear onde estão armazenados todos os dados pessoais (bancos de dados, arquivos de texto, planilhas, apresentações – espalhados por nuvens de diversos fornecedores e diversas redes e computadores)
– Classificar tais dados
– Relacionar os dados mapeados/classificados a pessoas
– Criar formas de permitir que seus clientes solicitem acesso a suas informações (ou a exclusão destas) de forma fácil
– Criar formas de gerar registros de todas essas movimentações/ acessos/solicitações
– Realizar avaliações de fornecedores que utilizem dados dos clientes
– Realizar a gestão do consentimento (relacionar o consentimento aos dados vinculados às pessoas e sistemas)
Alguns dos direitos que todos nós, cidadãos brasileiros, passamos a ter com a aplicabilidade da Lei:
– Acesso aos dados pessoais
– Correção de dados pessoais incompletos, inexatos ou desatualizados
– Eliminação de dados pessoais desnecessários, excessivos ou caso o seu tratamento seja ilícito
– Portabilidade de dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial
– Revogação do consentimento
– Reclamação contra o controlador dos dados junto à autoridade nacional
– Oposição, caso discorde de um tratamento feito sem seu consentimento e o considere irregular
No dia a dia da operação, o trabalho gerado por essas atividades será gigantesco, podendo envolver centenas de pessoas com demanda de informações mensalmente, exigindo que times busquem as informações em diversos sistemas, com inúmeras ferramentas voltadas a mapeamento de dados, gestão de consentimento, e diversas outras que não se conversam e entregam painéis de visualização distintos. Um verdadeiro pesadelo para os times responsáveis por buscar, organizar e entregar tais informações.
A fim de evitar a contratação de diversas pessoas, montar uma área, criar processos, fornecer treinamentos, lidar com turnover e todas as outras dificuldades e despesas envolvidas no desenvolvimento de uma nova área dentro de uma empresa, muitas organizações optam por contratar serviços de Managed Privacy Services (MPS). Um bom MPS deve fornecer todas as atividades listadas acima de forma descomplicada, com informações centralizadas, e uso de inteligência artificial para realizar atividades que permitam atender às solicitações dos clientes de forma eficiente.
Deve fornecer facilidades para realizar integrações com os sistemas atualmente utilizados pela empresa, além de realizar os mapeamentos de dados e ainda apoiar de forma consultiva com relação a prazos, exclusão de dados por solicitação de clientes e outros desafios que certamente surgirão diariamente.
* Por Fabio Soto é CEO da Agility