Acesse: https://www.jusbrasil.com.br/cadastro
Sumário:
Claudinei Vieira
Atua como DPO (Data Protection Officer) na Marketdata, uma empresa de soluções em tecnologia, reconhecida pelo know-how em soluções de Data-Driven Creative Services , CRM e Analytics . Trabalhou em empresas de diversos setores, tais como: PwC, Votorantim, Natura, BRF, Braskem, Novartis, Deloitte, VW e GPA, na implementação de programas de compliance , segurança da informação e privacidade de dados. A Marketdata é parte da WPP Group, holding britânica de empresas e agências de publicidade, comunicação e marketing. Considerada uma das maiores agências de publicidade do mundo, possui mais de 3.000 escritórios em 113 países e emprega mais de 205 mil pessoas, com faturamento em 2016 de £ 14,4 bi. Na Marketdata, Claudinei conduz a jornada de adequação à LGPD (Lei Geral de Proteção de Dados), através de frentes de mudanças de processos, tecnologias, políticas, procedimentos e cultura preventiva a riscos de segurança e privacidade. Profissional Graduado em Ciência da Computação pela UNESP. MBA em Inovação pela FIA e certificação internacional Exin Data Protection Officer. Apreciador de cinema, teatro e música brasileira. Mas ama mesmo é brincar com seu filho Flávio, de 8 anos.
Mesmo as leis bem ordenadas são impotentes diante dos costumes .
(Nicolau Maquiavel, 1469-1527)
As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frontais, materiais internos não inflamáveis, entre outros itens. Muitos desses não eram, inclusive, itens de série nos veículos de 40 anos atrás, ou não tinham seu uso aplicado em massa. Dentro do contexto da época, alguns desses acessórios eram considerados dispensáveis sob a perspectiva do fabricante e dos proprietários. As estatísticas do trânsito demonstram, hoje, como um dia já subestimamos as questões de segurança.
A economia de dados – e toda a revolução que ela provocou nos últimos dez anos – segue um caminho similar. E essa travessia vem enlouquecendo todo o mercado, de grandes players de tecnologia, passando por telecom, bancos, seguradoras, montadoras, governo, varejo e startups , pois escancara os gaps nas práticas corporativas e na gestão de negócios das empresas, no que tange à privacidade e proteção de dados.
As leis de privacidade são movimentos naturais que surgem para direcionar e trazer o equilíbrio necessário entre inovação e proteção de dados. A necessidade dessas leis é inquestionável. Porém, não há lei que traga sozinha algum resultado efetivo, sem que haja disrupção, que pode surgir na forma como o desenvolvimento de produtos e soluções trata o tema de segurança da informação e privacidade de dados pessoais, hoje. Vale a provocação aqui: uma plataforma ou um app, por mais cool and inspiring que seja, não sobrevive ileso a um vazamento de dados ou abuso no tratamento deles. Privacidade pode não ser relevante no MVP (protótipo) de uma startup, por exemplo, mas será essencial para a ampliação de sua base de clientes e demais titulares de dados.
Os contrapontos das leis de privacidade de dados em todo o mundo (na perspectiva empresas vs titulares de dados):
| Prós | Contras |
|---|---|
| •Reduz casos de vazamento de dados; •No caso de ocorrência de vazamento, estabelece responsabilidades claras das empresas; | •Custo excessivo de compliance com as leis de privacidade; •Oposição à inovação; |
| •Legitima o tratamento de dados por parte das empresas, trazendo maior segurança jurídica. •Reduz prejuízos ao titular de dados; •Regula o mercado de venda e compra de dados; •Garante sustentabilidade à inovação; •Gera oportunidade de maior engajamento de clientes e consumidores; •Traz maior confiança nas marcas; •Depuração do mercado de dados – tende a reduzir determinadas práticas criminosas de comercialização de dados. | •Por ser nova, a lei não tem ainda jurisprudência consolidada para determinadas questões; •A ausência de uma agência reguladora efetivamente formada e atuante gera instabilidade jurídica. |
Fonte: elaborada pelo autor.
As seguintes premissas serão consideradas ao longo dessa fase de preparação:
Foco no risco do negócio;
Simplificação;
Foco na mudança de cultura;
Custo de compliance balanceado;
Maximização do uso de tecnologia como indutor das mudanças.
As seções deste capítulo buscam orientar as empresas e seus profissionais na condução de implementação do Programa, tendo como base as premissas anteriores.
A minha experiência de 20 anos atuando e assessorando empresas de grande e médio porte a implementar programas de compliance , segurança da informação e controles internos demonstra que falhar em algum desses componentes pode ser dispendioso, não efetivo e, em alguns casos, pode colocar em risco a sustentabilidade da operação da empresa.
Este capítulo é uma convocação para a ação. Apresenta um roadmap para implementação do Programa de Privacidade e Proteção de Dados, com adequada articulação entre diversas áreas da empresa. Assim, mãos à obra!
Dado que o tema de privacidade é complexo e abrangente, e que envolve diversas áreas de negócio, pessoas e parceiros em uma empresa, faz-se necessário desenhar a implementação considerando-a como um Programa de Privacidade e Proteção de Dados (Data Protection Management System – DPMS). O Programa será composto de diversas frentes e projetos, que têm como objetivo implementar:
Estratégia;
Governança;
Políticas e procedimentos;
Ferramentas;
Gestão da Mudança – Conscientização, Treinamento.
O objetivo dessa fase de preparação é entender efetivamente o cenário atual da empresa em relação aos requisitos de privacidade e proteção de dados e, ao final, estabelecer governança, responsabilidades e um plano de ação para endereçamento dos riscos identificados.
A seguir, apresentamos as etapas contempladas nessa fase de preparação:
Fonte : elaborada pelo autor.
A execução deve ser conduzida pelo DPO, o qual deve buscar, junto ao Comitê, o compromisso das áreas de negócio para participação ativa e contribuição produtiva em entrevistas e workshops . Caso a empresa não tenha um DPO nomeado, deve-se indicar um responsável interinamente para atuar nesse papel. Esse profissional deve saber articular as interações entre o Comitê, segurança da informação, jurídico, compliance , áreas de negócio e TI.
Determinadas questões de privacidade no contexto corporativo de uma empresa são complexas e cruzam diversas áreas de negócio. O formato de workshops , com a participação das principais áreas envolvidas, é fortemente recomendável. Nesse formato, a exposição e o confronto da interpretação do cenário atual, pontos de vista e opiniões é benéfico para a convergência e estabelecimento das ações necessárias, de forma realista e transparente. Após os workshops , a realização de reuniões individuais ou específicas será necessária para maior detalhamento ou alinhamento.
Todas as entrevistas e workshops devem ser preparados previamente, e podem abordar temas instigantes, tais como: legítimo interesse, consentimento, conceito de dado pessoal, compra de dados do mercado e compartilhamento de dados, entre outros assuntos do universo de privacidade. Compile as informações e prepare-se para enfrentar questionamentos – naturalmente calorosos – sobre esses temas. As discussões devem ser conduzidas pelo DPO em conjunto com os demais especialistas. Durante os workshops e entrevistas, provocações inteligentes devem ser aplicadas, de forma a tirar todos de suas zonas de conforto. O cenário atual e o futuro devem ser discutidos apropriadamente para que todos os participantes estejam na mesma página.
Não estacione em grandes discussões teóricas e subjetivas. Vendo que o tema se arrasta, capture o essencial discutido sobre o tema e dê um passo adiante. Como LGPD é um tema recente, existem pontos ainda nebulosos. Nos próximos workshops , traga mais teoria, subsídios, argumentos e números para suportar a discussão. O papel do jurídico é essencial, nesse momento, para dar um tom objetivo para as abordagens sobre os aspectos legais.
Recomenda-se, desde já, designar um PMO para o projeto de implementação do Programa de Privacidade e Proteção de Dados. Ele será responsável por conectar os pontos soltos e tracionar o projeto de acordo com as ações e atividades definidas, cobrando o cumprimento dos prazos e a qualidade exigidos por implementações desse calibre. Lembre-se: em diversas etapas do Programa, teremos dezenas de envolvidos. Gestão de projeto é primordial para não deixar a orquestra desafinar. Caso a empresa trabalhe com metodologias ágeis, estabeleça adequadamente os sprints e squads para as entregas parciais do Programa. Milestones definidos e entregues com qualidade são chaves para o sucesso desse projeto.
Na próxima seção, detalhamos uma forma de como executar a mobilização inicial da jornada de implementação do Programa de Privacidade e Proteção de Dados em sua empresa.
Paralelismo das etapas
A depender da estrutura de sua empresa, tempo dos profissionais e investimento disponíveis, alternativas são factíveis explorando maior paralelismo entre as etapas. Segue um comparativo entre dois cenários:
Cenário 1
Fonte : elaborada pelo autor.
Esse cenário se caracteriza por pouco paralelismo e foco nas entregas parciais em grandes blocos. Uma boa opção para empresas que têm como cultura a implementação de projetos nessa linha, ou tenham restrição de custo ou recursos no paralelismo.
Cenário 2
Fonte : elaborada pelo autor.
Dada a complexidade de execução do Inventário de Dados (Etapa 4) e da implementação da governança do Programa (Etapa 5), pode-se optar por paralelizá-las com a elaboração do Diagnóstico Detalhado (Etapa 3). Isso demandará cautela na elaboração do cronograma – devido às atividades que são pré-requisitos para alguns entregáveis – e a necessidade de se estabelecer mais recursos e investimento em determinados períodos.
A etapa 2 (Conduzir uma avaliação inicial de privacidade) deve ser executada sem paralelismo. Essa avaliação inicial do cenário atual de privacidade e proteção de dados é essencial. Queimar a largada aqui, ou perder o foco, pode prejudicar a evolução das próximas etapas. Cuidado!
Fonte : elaborada pelo autor.
Devem ser consideradas no escopo todas as áreas de negócio que …
Tenha acesso ilimitado a Doutrina com o plano Pesquisa Jurídica Avançada e mais:
