Produto
Demo
Blog
DPO School

Os três primeiros passos na consultoria para a  LGPD


Este artigo tem como objetivo apontar o que temos visto como padrões mais comuns na prática de consultoria em proteção de dados. Ao visitar um cliente novo e desconhecido, quais são os primeiros passos a serem dados? E por qual razão? Nós olhamos para este problema não listando os artigos da lei e o que ela diz que você deve fazer, mas adotando uma perspectiva mais prática e considerando o que realmente funciona.

Premissa

Tomamos como premissa a seguinte situação: você é um profissional de proteção de dados. Uma empresa se aproximou de você para "lidar com a LGPD" para eles. Você tem pouca informação sobre a organização, apenas sabe que se trata de uma empresa de pequeno ou médio porte e que não possui um departamento jurídico interno (porque, caso tivesse, provavelmente não terceirizaria o serviço). Eles vêm até você sem perguntas específicas, mas justamente porque não sabem o que fazer e por onde começar. Você lhes fez uma oferta e eles o contrataram como responsável pela conformidade com a regulamentação de privacidade de dados pela empresa. 

E agora?

Como consultor, é muito provável que você tenha tido aulas sobre privacidade de dados, ou participado de cursos de “como se tornar um DPO”, que lhe ensinaram o conteúdo da lei. Tudo que você aprendeu lá está correto. Mas assim como aulas de matemática não ensinam como administrar um negócio, aprender sobre a legislação de proteção de dados não nos ensina o que precisa ser feito na prática. A lei diz: você deve criar um Registro de Atividades de Tratamento. Claro, mas onde você encontra as informações a serem inseridas? Ou: os titulares dos dados têm direitos. Sim, mas o que isso significa para a administração de uma empresa?

A resposta é: um passo de cada vez. Aqui reportamos o que tem funcionado melhor para a maioria das pessoas com quem falamos.

Se você quer saber mais sobre a experiência de um DPOaaS, confira nossa entrevista com um DPO externo atuando na Europa

Passo Um - Um bate papo com a alta gestão

Isto pode parecer óbvio, mas o primeiro e importante passo é estabelecer uma boa base de comunicação para uma relação de parceria que provavelmente durará anos. No início, certifique-se de que você está na mesma página que a alta gestão, mitigando riscos de desentendimentos durante o oferecimento do serviço. Se você não conversar com a alta gestão no início, dificilmente terá a chance de fazê-lo no futuro. 

Certifique-se de que a alta gestão entenda seu papel como um consultor independente que está lá para aconselhá-los. Isso significa que você não irá concordar cegamente com o que for pedido e que tampouco exerce a função de polícia. Seu papel é dar recomendações e treinamentos e, dependendo dos termos da contratação, cuidar da implementação de tais recomendações. Mas, em última instância, é responsabilidade da empresa transformar suas recomendações em realidade. Se os funcionários deles não seguirem seus conselhos, isso é problema deles, não seu.

Visando facilitar suas atividades, certifique-se de que a empresa nomeie uma pessoa de contato para você, com a qual você possa lidar diretamente sobre o assunto. Idealmente, essa pessoa seria uma espécie de "coordenador de proteção de dados". 

Por fim, utilize essa oportunidade para enfatizar que você está lá para proteger o negócio de possíveis multas. Isso pode vir a calhar no momento em que vocês negociarem uma possível extensão do seu contrato. 

Embora este primeiro passo não esteja previsto em lei, ele já reforça a proteção de dados ao estabelecer seu papel e as bases para qualquer implementação futura.

Passo Dois - A primeira e longa auditoria

O passo dois também não está previsto em lei. Mas de que outra forma você poderia começar?!

A fim de ter uma idéia do tipo de organização e processos com que você está lidando, você precisa fazer perguntas. As respostas a essas perguntas devem ser registradas por escrito. E, enquanto você está nesse processo de aprendizagem, por que não destacar algumas fraquezas e recomendações para a empresa? Junte tudo isso, dê um nome ao formato, e voilà: você tem uma auditoria. As pessoas também gostam de chamá-la de “Gap Analysis” (análise de lacunas, em português), ou de Check-up de Proteção de Dados. 

O nome não importa. O que importa é você começar a entender a organização para a qual está trabalhando. Enquanto o primeiro passo era sobre um relacionamento profissional, o passo 2 começa a entrar no conteúdo de privacidade e proteção de dados. 

Mesmo para pequenas empresas ou clubes, o processo de auditoria pode levar de algumas horas a vários dias. Você controla a profundidade da auditoria que irá fazer, e pode fixar o preço de acordo. Mas, em última análise, seu objetivo é entender o que o negócio faz, como isso afeta as informações pessoais tratadas, e onde você recomendaria fazer mudanças para atingir a conformidade com a lei.

Da perspectiva do negócio, a auditoria é uma ótima oportunidade para você mostrar o seu valor. Você sabe o que perguntar. Você sabe onde procurar. E você pode facilmente gerar ótimos relatórios para seus clientes. 

Passo Três - Estruturação da documentação 

Embora uma auditoria deva sempre resultar em um relatório, este relatório é geralmente uma mistura de recomendações genéricas longas acompanhadas de algumas medidas muito específicas. Ele raramente irá refletir todas as informações que foram coletadas durante a auditoria, funcionando mais como um documento com pontos de destaque.

A emissão de um relatório de auditoria cumpre somente parte das exigências legais de proteção de dados a longo prazo. Como armazenar as informações coletadas na auditoria de uma forma que permaneça administrável, e não representem apenas palavras obsoletas em um documento de texto? Por isso é importante você estruturar as informações. A LGPD tem uma noção dessa necessidade, ao determinar que o controlador de dados deve manter um registro das operações de tratamento de dados pessoais (artigo 37). 

Diferentemente do relatório de auditoria - que tem seu valor, especialmente perante os clientes, o registro das atividades de tratamento serve a outros propósitos. É menos visível e funciona como uma base a longo prazo para o ciclo PDCA (Plan-Do-Check-Act), onde qualquer pessoa em qualquer ponto no futuro será capaz de inspecionar partes da organização. Além disso, as autoridades podem solicitar tais registros como uma prova de conformidade. 

Passos Seguintes


Obviamente, isso é só o começo. Como consultor, você possui outras tarefas tais como criar políticas de privacidade de dados, contratos de processamento de dados ou anexos, cláusulas e aditivos, medidas técnicas e organizacionais, lidar com incidentes e pedidos de titulares de dados, treinamento de funcionários, análises de riscos, e muito mais. Essas atividades serão tratadas em artigos futuros, então certifique-se de nos acompanhar por aqui. 

Últimas Observações

O que compartilhamos aqui não se trata de um simples artigo de opinião. É a culminação de anos de trabalho com proteção de dados e atendimento a centenas de clientes. É a nossa convicção de que esta é a melhor abordagem prática que aperfeiçoamos cada vez mais. Construímos e atualizamos constantemente o ECOMPLY para apoiar este processo. Se você quiser ver isso na prática, agende uma demonstração.




Descubra ECOMPLY na prática

Ao enviar sua solicitação, você concorda com os termos de nossa política de privacidade.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

ECOMPLY é seu sistema operacional para atividades de proteção de dados. Por essa razão, você precisa de um apoio pessoal e um software que atenda às suas necessidades. Em nossa demonstração, nós fazemos o melhor para entender suas necessidades e garantirmos que você obtenha a informação que está procurando.

Hauke Holtkamp, CEO ECOMPLY GmbH