Eficácia dos "Assessments" de LGPD

Recentemente, fiz duas reclamações no site "Reclame Aqui", contra empresas razoavelmente grandes, por conta do que considerei um tratamento inadequado dos meus dados pessoais. Em ambos os casos, eu solicitei, através dos e-mails indicados pelas empresas em suas Políticas de Privacidade, que meus dados fossem removidos de suas bases de dados - agora, um direito garantido aos titulares de dados pela LGPD. Em um dos casos, o e-mail fornecido não existia. No outro caso, recebi uma resposta automática me pedindo alguns dias para atender o meu pedido - primeiro, pediram 5 dias úteis; aguardei. Depois, pediram mais 15 dias ! Passados os 15 dias, eu recebi um e-mail da empresa dizendo que minha solicitação fora atendida. No entanto, continuei a receber os e-mails de propaganda deles (mais de um por dia !). Se a ANPD já estivesse operando, eu teria levado minha queixa a ela, por violação da LGPD. Poderia ter levado à justiça, mas, por enquanto, me contentei em levá-las ao Reclame Aqui, que já contabiliza cerca de 3 mil reclamações por violação da LGPD. As duas empresas que entrei em contato garantiam, nas políticas publicadas em seus sites, que estavam conformes com a LGPD. Mas acho que faltou combinar com a operação ! O porquê dessas falhas acontecerem me levou a escrever esse artigo.

Ao longo dos últimos meses, empresas têm nos procurado para implementar as adequações necessárias à conformidade com a LGPD. No entanto, muitas destas empresas têm se queixado bastante dos "assessments" (ou diagnósticos) que têm nas mãos para iniciar essa jornada, tendo percebido, na hora de tomar decisões de investimentos na implementação, que os mapeamentos estão muito incompletos.

São queixas de projetos que deixaram planos de ação - quando deixaram ! - que se parecem mais com listas de atividades, ao invés de oferecerem um cronograma de implementação. Não ofereceram um cronograma porque não avaliaram e classificaram os riscos das não-conformidades - alto, médio, baixo ? - e, ao não fazerem isso, não permitiram uma definição de prioridades. E as empresas precisam saber: quais ações tenho que implementar primeiro ? Há uma sequencia lógica ? Que recursos serão necessários ? Quanto isso irá nos custar ? Eu sei ... é uma demanda regulatória e "tem que implementar" ! Sim, mas toda empresa tem uma capacidade financeira finita e também tem algum nível de apetite para o risco - e é esse balanceamento que irá determinar o que será efetivamente implementado até Agosto de 2021 e em que velocidade.

Outros desses "assessments", queixaram-se as empresas, focaram apenas na definição de políticas de privacidade, cláusulas contratuais e termos de consentimentos. Políticas e consentimentos são instrumentos importantes para a conformidade com a LGPD, mas, sem que estejam associados ao dia-a-dia das operações, através de processos e sistemas, tendem a permanecer intactos no papel, mantendo as empresas não-conformes com a lei. Já a revisão dos contratos poderá permitir às empresas que repassem prejuízos causados pela inobservância da lei a empregados e parceiros ... depois do fato !!! Ou seja, até poderão proteger interesses financeiros da empresa mas não sua reputação, muito menos os direitos dos titulares de dados.

Mais uma queixa bastante comum, tem sido o mapeamento do que ocorre nas áreas de TI. Em alguns "assessments", a área de TI foi completamente ignorada. Não foi feita qualquer avaliação do efetivo nível de segurança da informação da empresa. Há casos em que foram aplicados apenas questionários estilo checklist ("tem ou não tem ?"), que são insuficientes para se avaliar o nível de risco de vazamentos de informação e perda - acidental ou intencional - de dados pessoais ao qual a empresa está sujeita. Não custa lembrar que o PD em LGPD significa Proteção de Dados, elevando esse tema ao patamar de prioridade absoluta !!! No outro extremo, há queixas de foco quase exclusivo na adoção de ferramentas de "data discovery", jogando a empresa em uma busca frenética de dados pessoais espalhados por suas bases de dados. Saber onde os dados pessoais estão é importante, claro, desde que se localizem todos os dados ! Isso inclui aqueles que estão em papéis, formulários, etc., além daqueles que foram baixados de algum sistema, para alguma planilha, utilizada por alguma área e que hoje residem em algum pendrive, na gaveta de alguém - risco máximo de vazamento ou de uso indevido ! Não superestime a necessidade de ter uma ferramenta.

E, na ânsia de oferecer projetos rápidos e baratos, 99,9% dos "assessments" deixou de avaliar como os processos operacionais em cada área tratam dados pessoais. Importante registrar que a LGPD não proíbe sua empresa de tratar dados pessoais; em alguns casos específicos, ela até permite que se faça isso sem o consentimento do titular dos dados. São as formas de tratamento de dados pessoais efetuadas - coleta, acesso, armazenamento, compartilhamento e eliminação - ou a ausência destas, que irão determinar se sua empresa está em conformidade com a lei, ou não. Se o seu "assessment" não investigou o fluxo de tratamento de dados pessoais em cada área, você não tem idéia, de fato, do nível de risco a que está exposto, muito menos da complexidade para alcançar a conformidade. Sim, pois mitigar os riscos de tratamento poderá exigir transformações em processos e em sistemas. Ambas tendem a ser mais demoradas de se implementar, e mais custosas - e sem as quais, convenhamos, não se pode garantir a efetiva conformidade.

Por fim, voltando aos casos relatados no 1º parágrafo desse texto, também notamos que muitos "assessments" ignoraram (ou sublimaram muito !!) a necessidade de se criar processos exclusivos para atendimento e resposta às demandas dos titulares de dados e, no futuro próximo, da ANPD. Não basta nomear um Encarregado de Dados (DPO). A ausência de processos que permitam ao DPO executar as suas funções será o maior erro que seu plano de ação de conformidade com a LGPD poderá cometer ! É o titular de dados, maltratado pelos processos de atendimento, quem mais provavelmente irá denunciar sua empresa à Autoridade Nacional. Exatamente como aconteceu quando do advento da Lei de Proteção ao Consumidor ! 

Agosto é o mes em que sua empresa estará sujeita às sanções da ANPD, mas a justiça já está aceitando queixas de titulares de dados e dos Ministérios Públicos e determinando punições. Não há mais tempo para ignorar a LGPD ou ficar chorando sobre o "assessment" derramado ! Nossa experiência tem mostrado que, em média, nas implementações da conformidade com a LGPD, 55% do tempo tem sido gasto com ajustes em processos e sistemas, 25% tem sido gasto com a implementação do atendimento aos titulares de dados, 15% gasto com ajustes relacionados à Segurança da Informação e 5% gasto com os instrumentos formais (Políticas, consentimentos, contratos, etc.). 

Avalie, com lupa, em que pé está sua empresa, meça seus riscos, detalhe os investimentos a serem realizados, estabeleça suas prioridades de ação e boa jornada !