Q&A
1. Fazer um curso avançado sobre o GDPR seria interessante para ser consultor de LGPD?
Como sabemos, a LGPD possui muitas semelhanças com o GDPR, e qualquer experiência com o GDPR é sempre muito bem-vinda. Um curso avançado sobre o GDPR poderia trazer conhecimento não só sobre os termos do regulamento europeu, mas como ele tem sido aplicado e desenvolvido na Europa desde o momento de sua entrada em vigor, o que certamente contribuirá no seu trabalho como consultor no Brasil.
No entanto, sabemos que, embora muito parecidas, GDPR e LGPD são duas legislações diferentes e a aplicação de cada uma leva em consideração outros aspectos, tais como leis nacionais e cultura de um país. Dessa forma, caso você esteja ainda no início de sua preparação para atuar como consultor, o melhor é se especializar na lei brasileira, tendo o GDPR apenas como referência, salvo se tiver clientes que estejam sob a égide do GDPR. Temos muitos cursos e profissionais de alta qualidade no Brasil que podem ajudar você nesse processo inicial de aprendizagem e geralmente o GDPR é bastante mencionado e estudado nesses cursos. No mais, conte com ECOMPLY! Estamos constantemente compartilhando conteúdos que contam um pouco da experiência na Europa, o qual você pode acessar no nosso blog.
2. Imagino que o atendimento às demandas dos titulares seja uma das principais “dores de cabeça” dos Controladores. Como as empresas na Europa estão garantindo que a pessoa que está demandando informações é realmente o titular de dados?
Realmente o atendimento às requisições (e direitos) dos titulares de dados é um dos pontos que mais preocupam as empresas. Na Europa é a quarta maior causa de violações ao GDPR e consequentemente de aplicação de multas pelas Autoridades Supervisoras. Muitas empresas automatizam esse fluxo de atendimento tendo em vista os diversos canais disponíveis e pontos de contato que os titulares utilizam (e-mail, chat, pessoalmente, via telefone etc.).
O primeiro desafio é justamente identificar se quem faz a requisição é realmente o titular dos dados e para isso as empresas costumam utilizar ferramentas de KYC (Know Your Costumer) ou mesmo coletam mais dados antes de atender às requisições a exemplo de uma selfie com um documento de identidade ou outros documentos comprobatórios.
Se o seu cliente ou a sua empresa atua diretamente com consumidores, o ideal é automatizar esse processo para evitar trabalhos manuais e isso se tornar um gargalo porque haverá prazo para esse atendimento. Também é importante criar fluxos e processos distintos para titulares externos (clientes) e titulares internos (funcionários, ex-funcionários, prestadores de serviços, fornecedores etc.).
3. Verifico uma certa dificuldade de calcular um valor fixo fechado como exposto na apresentação, principalmente se tratando de um serviço prolongado no tempo. Qual a sua sugestão para conseguirmos um valor justo para ambos os lados?
A precificação do serviço é um ponto importante e precisamos levar em consideração a capacidade orçamentária do cliente e os custos e a margem de rentabilidade do escritório/consultoria.
Antes de entrar no cálculo de precificação para a proposta de honorários é importante entender a maturidade do cliente em relação aos temas de privacidade e proteção de dados, a complexidade das operações de tratamento de dados pessoais, a estrutura do cliente e seu faturamento anual. Por isso é importante fazer um diagnóstico inicial do cliente antes do envio da proposta.
A tese que propomos é que um valor fixo mensal é mais interessante tanto para o cliente como para a consultoria/escritório, porque gera previsibilidade de despesas para o cliente e gera receita recorrente para o escritório/consultoria, tendo em vista que pela própria exigência da LGPD o trabalho é contínuo e prolongado no tempo. A busca pela conformidade com a Lei não acaba. Para tanto, é preciso celebrar um contrato de médio prazo. A praxe na Europa vem sendo contratos de 36 meses.
Geralmente, as consultorias calculam seus custos por hora/homem, identificam a equipe que trabalhará para esse cliente, estimam as horas de cada integrante do time dedicadas ao cliente e também calculam um custo médio hora/homem. Tendo esse custo identificado e a estimativa de horas dedicadas, é possível definir o preço e estipular a margem que a consultoria quer trabalhar. Também é importante avaliar a relevância estratégica do cliente para o seu negócio e definir uma taxa de desconto. Porque há clientes que podem não trazer tanta lucratividade diretamente, mas são importantes para o posicionamento do escritório/consultoria em determinado segmento ou mercado.
Um exemplo simples, sem considerar inflação e reajustes dos valores, para a precificação nesse modelo de preço fixo mensal para um contrato de 36 meses.
Imagine que seu custo mensal com a equipe que atenderá o cliente seja de R$ 5.000,00/mês no primeiro ano com dedicação estimada de 50 horas/mês para determinado cliente. Esse custo cai pela metade nos dois anos seguintes
Custo no primeiro ano: R$ 60.000,00
Custo no segundo ano: R$ 30.000,00
Custo no terceiro ano: R$ 30.000,00
Celebrando um contrato de 36 meses com esse cliente é possível fazer a implementação da LGPD (o que demandará uma carga de trabalho um pouco maior no início) e depois manter a consultoria para o programa contínuo de governança que demandará metade da força de trabalho do primeiro ano.
Custo total para os 36 meses: R$ 120.000,00
Custo mensal para os 36 meses: R$ 3.333,33
Se aplicarmos uma margem de 80% sobre o custo, conseguimos definir o preço fixo mensal em aproximadamente R$ 6.000,00.
Os riscos de resilição antecipada do contrato, gestão da equipe, controle de horas são preocupações relevantes e que devem ser bem geridas pelo escritório/consultoria. Além disso, nada impede de se cobrar um valor maior nos primeiros 12 meses e depois diminuir esse valor nos 24 meses seguintes.
Vale lembrar que com o uso da tecnologia é possível ampliar a sua capacidade operacional sem aumentar na mesma proporção os seus custos, aumentando a sua lucratividade.
4. Uma barreira inicial para a adequação à LGPD para as PMEs é o custo do projeto, sobretudo em negócios que demandam mais tratamento de dados ou mais complexidade. Como está sendo a experiência da adequação das PMEs na Europa, sobretudo para aquelas que vêem barreira financeira para o projeto?
A cultura e a consciência com as questões de privacidade e proteção de dados, bem como a realidade econômica dos países europeus são bem diferentes da nossa realidade no Brasil.
Vale lembrar que as legislações de proteção de dados existem na Europa desde a década de 1970 e a Diretiva 95/46 CE já exigia das empresas o cuidado com o tratamento de dados pessoais. Ou seja, eles já estão há mais de 25 anos discutindo e implementando questões de privacidade e proteção de dados nas empresas.
Na UE, geralmente as PMEs buscam apoio de um consultor ou DPO externo para a adequação ao GDPR, não por meio de um projeto, mas sim por meio de uma consultoria porque sabem que a adequação à Lei é um trabalho contínuo e projetos têm começo, meio e fim.
Pela nossa experiência, o que vem prevalecendo é o modelo denominado “flat rate”, ou seja, paga-se uma mensalidade para o consultor (algo entre 200,00 a 500,00 euros/mês) e o consultor identifica as desconformidades e recomenda as ações de adequação aos seus clientes. Muito do trabalho depende de ações do próprio cliente para a adequação, seguindo as recomendações do consultor ou DPO externo.
Como mencionado na resposta anterior, esse modelo é benéfico porque gera uma previsibilidade de custos para o cliente e receita recorrente para o consultor.
Entrevistamos um DPO externo que atua na Alemanha e ele dá algumas dicas que podem ser acessadas aqui.
Mais uma vez, agradecemos por participar de nosso evento e fique de olho nos próximos! Nós, da ECOMPLY temos um imenso prazer em ajudar vocês nessa jornada de privacidade que está apenas se iniciando no Brasil.
No caso de qualquer dúvida, comentário ou sugestão, entre em contato conosco aqui.