A Lei Geral de Proteção de Dados (LGPD) entrou em vigor recentemente e os brasileiros ainda estão tentando descobrir a melhor forma de se adequar aos novos padrões de processamento de dados pessoais. Não só as empresas que, como sabemos, têm seus negócios diretamente afetados pelos termos da Lei, mas também advogados e consultores estão tentando entender a melhor forma de assessorar seus clientes nessa jornada.
Neste artigo, gostaríamos de trazer um pouco do que foi e vêm sendo experienciado na Alemanha, o país conhecido como o berço da privacidade de dados. No artigo publicado em 11/12/2020 (que você confere aqui), o CEO da ECOMPLY.io contou um pouco da sua experiência com o tema e a razão pela qual ele entende que a Alemanha teria uma preocupação maior com o assunto. Obviamente, a situação do Brasil em muitos aspectos não pode ser comparada com a Alemanha. É indiscutível, no entanto, que podemos nos inspirar e aprender com os erros e acertos que não só a Alemanha, mas como toda a Europa, tem visto nos últimos anos, especialmente com a implementação do Regulamento Geral sobre Proteção de Dados (GDPR).
Diferentemente do Brasil, a Alemanha possui legislação de proteção de dados há mais de 50 anos. Durante todo esse tempo, as empresas tiveram que se adequar às normas de conformidade, o que forçou o estabelecimento de uma infra-estrutura. As empresas reservaram orçamentos para lidar com o assunto e autoridades de proteção de dados foram criadas. Instituições de ensino capacitaram pessoas como especialistas em proteção de dados para implementação, consultoria e auditorias. Toda essa infra-estrutura e experiência que a Alemanha possuía antes mesmo da GDPR foi essencial para a adequação com a legislação de privacidade de dados e é algo novo ao Brasil, que só agora com a Lei Geral de Proteção de Dados (LGPD) começou a, de fato, se preocupar com tal estrutura. . Queremos hoje, portanto, compartilhar nossas experiências na Alemanha, descrevendo em o que consiste uma consultoria de proteção de dados, como ela atua e como começar uma.
A maioria das empresas opta por terceirizar a questão de privacidade de dados para uma consultoria externa, ao invés de contratar novos funcionários e lidar internamente com o tema. As principais razões para essa escolha são:
- Proteção de dados, na maioria das vezes, não é uma tarefa que demanda tempo integral de funcionários;
- Desnecessidade de investimento na especialização de funcionários, tendo em vista se tratar de uma tarefa que não demanda tempo integral;
- Terceirização de responsabilidade operacional.
Naturalmente, o treinamento de funcionários acaba sendo parte do processo de adequação à Lei, na medida em que são eles, em nome da empresa controladora, os indivíduos que fazem uso e processam os dados pessoais. Treinamentos de funcionários é tarefa essencial sob a ótica de compliance com a Lei. No entanto, uma especialização na matéria costuma ser terceirizada: consultores externos oferecem justamente essa especialização que demandaria intenso investimento pela empresa, e naturalmente se beneficiam desse modelo de negócio, tendo em vista a sua capacidade de oferecer serviços similares e repetitivos a diversos negócios ao mesmo tempo. Proteção de dados é um campo multifacetado com desafios diários. Ao oferecer o serviço para diversas empresas, o consultor externo adquire conhecimento prático que dificilmente seria obtido por meio de um curso ou outro tipo de treinamento. Esse fator demonstra-se de grande valia para as empresas, uma vez que, ao final, todos são beneficiados.
Além da expertise, de forma geral, podemos destacar três benefícios oferecidos pelas consultorias em privacidade de dados:
- Otimização de processos
- Consultoria pessoal e aconselhamento especializado
- Compartilhamento de responsabilidade.
A otimização de processos refere-se ao processo de auditoria, compreensão, documentação e eventual alteração de processos em uma empresa. Essa é uma das principais funções oferecidas pelos consultores, principalmente para empresas que estão em um estágio inicial de adequação à Lei. O principal objetivo é estruturar e otimizar os processos internos de tratamento de dados pessoais de tal forma que estejam em conformidade e sejam mais eficientes no que diz respeito à proteção de dados. Esta parte do trabalho normalmente envolve uma visita do consultor de proteção de dados na empresa, oportunidade em que se reunirá com diferentes departamentos, fará muitas perguntas e irá documentar suas conclusões. Com base nessas descobertas, o profissional é capaz de recomendar mudanças que visem efetividade e compliance com a Lei no que diz respeito ao tratamento de dados pessoais. Essa etapa é comumente denominada de “auditoria”.
Embora a auditoria seja a única atividade descrita pela LGPD, a consultoria de proteção de dados vai além disso. Com efeito, ao contratar uma consultoria, você também contrata um profissional para, de forma personalizada, sanar as dúvidas que surgirem no dia a dia do negócio, e esse contato pessoal é bastante valorizado pelas empresas. A legislação de proteção de dados pode parecer bastante confusa para muitos, eventual aplicação de multas poderiam ter resultados catastróficos nas finanças e reputação de empresas, e por tal razão são motivos de preocupação para qualquer negócio. Esse risco pode ser facilmente abordado através do "estar disponível" de um profissional. Empresários se sentem muito mais seguros quando têm um especialista que visita, responde perguntas e está disponível no caso de dúvidas. Muitas vezes tais perguntas começam com "Eu posso..." ou “Estou autorizado a…”.
Finalmente, o serviço indireto e passivo que consultores externos prestam resulta em uma redução (percebida) de responsabilidade. Todas as empresas têm o dever legal de se adequar e respeitar a regulamentação de privacidade. No caso de algo der errado, empresários na Alemanha sentem-se mais seguros ao saber que podem direcionar ou, ao menos, dividir essa responsabilidade. Embora essa questão seja frequentemente contestada e difícil de comprovar, há quem diga que este serviço de terceirização de responsabilidade é oferecido por consultores externos simplesmente em razão de sua existência. Ainda não sabemos como o Brasil irá lidar com essa questão de responsabilidade, mas o fato é que a mera possibilidade de eventual responsabilização faz com que os Data Protection Officers externos (ou Encarregados de Dados, conforme definido pela LGPD) comprometem-se em dar o melhor de si para documentar cada medida e passo dado no oferecimento de seus serviços, o que não só reduz a sua responsabilidade, mas como garante uma melhor prestação de serviço ao cliente.
Está interessado em como a ECOMPLY.io pode te ajudar com o processo de auditoria e redução de responsabilidade? Entre em contato conosco hoje.