Os desafios da implementação da LGPD na área de TI
Dada a complexidade da lei e as demandas que o setor já possui, terceirizar essa tarefa pode ser uma alternativa
Em agosto de 2021, o Brasil completou três anos em que a Lei Geral de Proteção de Dados (LGPD), que visa evitar o vazamento de dados, foi sancionada. Há um ano a lei passou, de fato, a entrar em vigor. Desde então, um dos principais desafios para a tecnologia da informação (TI) é o convencimento sobre essa necessidade para o setor empresarial.
Isso ocorre principalmente porque muitas instituições no país são de pequeno porte e precisam se adequar a essa realidade, principalmente na questão financeira. Para se ter uma ideia, segundo o Sebrae, são cerca de 6,4 milhões de empreendimentos no Brasil. Destes, 99% são classificados como micro e pequenas empresas.
E como o texto da lei vem para reforçar os direitos de defesa do consumidor e abrange todas as organizações, é primordial que os gestores e colaboradores tenham ciência da importância de se estar em conformidade com a legislação. Contudo, essa não é uma tarefa que se iniciou agora.
Devido à pandemia de covid-19, a obrigatoriedade de sua aplicação nas empresas, que estava prevista para o ano passado, foi adiada para 2021. Essa medida, inclusive, é debatida até hoje entre especialistas, que a consideram equivocada. De qualquer forma, suas sanções administrativas, previstas nos artigos 52, 53 e 54 entraram em vigor a partir de 1º de agosto de 2021.
As punições para quem descumprir a LGPD, segundo a Autoridade Nacional de Proteção de Dados (ANPD) variam de acordo com o grau da infração e com o porte da empresa, podendo se manifestar em forma de advertência, multa, publicização do ato, suspensão de funcionamento, bloqueio/eliminação dos dados vazados e proibição das atividades.
Daí entra em xeque a seguinte questão: até que ponto o setor de TI está preparado para encarar a transformação digital que o cenário – e a LGPD – requer?
Possibilidades da terceirização da adequação à LGPD
Para os pequenos negócios, o trabalho de quem desenvolve sistemas para adequação à LGPD tem sido uma saída importante. Esse é o caso da Milvus, que atua na solução e oferta de serviços de gestão para o atendimento a instituições que trabalham com TI. Félix Schultz, CEO da companhia, comenta que em muitos casos a figura do DPO (Data Protect Officer, ou seja, a pessoa encarregada da proteção de dados) pode ser assumida por quem tem o atendimento especializado. Isso possibilita uma redução de custos para locais que não podem ter esse profissional.
“O cliente final de quem oferece serviços de TI muitas vezes não tem como contar com um profissional DPO, pois isso geraria muitos custos. Como a informática está ligada à área de segurança da informação, percebemos que isso faz muito sentido e, dessa forma, desenvolver sistemas para que a área de TI aplique a LGPD em outras empresas é uma maneira eficiente de ajudar os clientes finais, ou seja, todo o conjunto de empreendedores”, afirma.
Outro motivo que torna a terceirização do serviço uma boa pedida é a falta de conhecimento de todo o processo que envolve a LGPD. Sem dúvidas é muito mais simples e rápido a contratação de uma empresa especialista nessa área, que, em pouco tempo, consegue entregar um raio-X da situação atual e um planejamento claro do que precisa ser adequado para implementação correta da lei.
“Profissionalmente acredito muito na terceirização do serviço, porque garante maior independência nos processos. Meu maior receio na internalização deste processo é que o DPO e os profissionais envolvidos no processo de adequação sejam paralisados por superiores”, relata Félix Schultz.
Além disso, o especialista explica que, atualmente, uma ferramenta importante para a implementação da lei é o consentimento de cookies (cookie consent). Trata-se de um dispositivo em que o usuário final de um site libera ou não o rastreamento de informações. Essa plataforma fica disponível na página de uma loja, por exemplo, para que o cliente desse estabelecimento, ao entrar no site, concorde com a política de privacidade do estabelecimento.
Junto ao consentimento, o CEO da Milvus conta que a empresa viu a necessidade de oferecer também um canal de solicitação de mudanças ou remoção de dados. Esse contato é realizado por meio da própria plataforma. Através dessa novidade, o indivíduo, ao acessar o site, tem uma forma de se comunicar com o DPO. Com isso, um chamado é criado e a equipe da área pode fazer o acompanhamento e resolução do pedido. A ferramenta já foi implantada, até agosto de 2021, por 35% dos clientes da empresa.
Segundo ele, o dispositivo mostrou-se necessário por causa do armazenamento de informações pessoais por terceiros e a necessidade de ser um canal de contato entre usuário e instituição. “Uma vez que a LGPD esteja em vigor, o usuário final da empresa precisa de uma forma para entrar em contato com ela. E isso precisa estar documentado. Esse é o diferencial desta ferramenta de solicitação que a TI pode oferecer e gerenciar”, descreve.
Dificuldades e oportunidades do processo
Logo de cara, a aplicação efetiva da LGPD dentro das companhias pode parecer um bicho de sete cabeças, principalmente para o setor de TI. Isso se deve, segundo Félix Schultz, por dois motivos:
• Acúmulo prévio de tarefas, o que faz com que o setor não aceite bem novas demandas; • Número de pessoal e de budget desproporcional ao número de chamados.
Desse modo, ao adotar uma gestão terceira para esta tarefa, esses desafios não se encaixariam, restando somente oportunidades a serem exploradas, que podem melhorar e facilitar as questões internas e, ao mesmo tempo, facilitar a implementação da LGPD.
• Mapeamento e olhar crítico para com todas as atividades da empresa; • Não ter medo de mudar ou extinguir processos ultrapassados.
Trabalho de educação e acompanhamento é necessário
Ademais da implementação de ferramentas que assegurem o cumprimento da LGPD, é essencial trabalhar com a educação de quem está no ramo empresarial para evitar o vazamento de dados. Félix Schultz explica que esse treinamento resultaria no que é conhecido como firewall humano. Trata-se de um trabalho para que colaboradores saibam quais ações humanas podem gerar esses danos.
Um exemplo claro disso são os e-mails potencialmente perigosos que qualquer pessoa em uma organização pode abrir e clicar em links que resultem em problemas. Com orientações corretas, os riscos de invasão e uso inadequado de informações diminuem. Nesse processo, o DPO responsável teria participação em todas as etapas, inclusive na identificação de quem necessita desse acompanhamento.
“Com a LGPD todos estão acordando para algo que sempre foi importante, que é o armazenamento do dado que você, como pessoa jurídica, tem de seus consumidores. Não adianta gastar muito dinheiro com equipamentos e processo, e não ter uma política de treinamento forte e permanente principalmente com os novos colaboradores”, finaliza Félix Schultz.
Um bom CX na implementação da LGPD
Trabalhar com os dados, a partir da nova LPGD, exige certo cuidado com a abordagem do cliente. É essencial que a relação seja a mais transparente possível quanto à coleta e utilização desses dados, com foco total no customer experience (CX). O consumidor precisa se sentir confortável e entender o motivo pelo qual é interessante e vantajoso para ele que o recolhimento dessas informação está sendo realizado. Como em toda jornada de compra, em que se procura oferecer uma experiência diferenciada, esse processo não deve ser diferente.
E a transparência deve ser mantida até o período de pós-antedimento, quando chega o momento de exclusão de dados. Entre as boas práticas, inclua o envio de um e-mail ou entre em contato com o consumidor, informando que os seus dados foram apagados do sistema. Também é interessante promover uma pesquisa de satisfação. Promover um bom CX ao longo da jornada de todo esse processo pode fazer com que sua base de dados continue crescendo e tenha uma qualificação ainda melhor. É uma oportunidade para se aproximar ainda mais com os clientes que já consomem seus produtos.
POR AMANDA MEDEIROS - 23 DE SETEMBRO DE 2021