A adequação à Lei Geral de Proteção de Dados (LGPD) é mandatória sob o ponto de vista jurídico, mas a nova legislação também pode ser encarada como um forte fator impulsionador de temas estratégicos como Governança de Dados, Gestão de Processos, Privacidade, Segurança da Informação e Relacionamento com o Cliente.
Como consultoria, acompanhamos o movimento das organizações frente à LGPD e identificamos um olhar voltado, majoritariamente, para os aspectos jurídicos e eventuais implicações que a legislação pode trazer como, por exemplo, multas e danos à imagem. Nesse sentido, perdemos de vista o contexto que deu origem, em primeiro lugar, a Data Protection Regulation (GDPR) e a LGPD brasileira, no qual os dados passaram a ocupar papel central nos negócios e o desejo dos consumidores é desfrutar dos benefícios de um mundo conectado e digital sentindo-se seguros nesse ambiente.
É sabido que a gestão estratégica de dados passa a ser vista como uma vantagem competitiva pelas organizações que têm começado a adotar uma abordagem diferente para a governança da informação. A transformação desses dados brutos em informação e conhecimento torna-se cada vez mais desafiadora, uma vez que o volume de dados globais atinge patamares cada vez maiores.
Precisamos, portanto, olhar para LGPD como um estímulo adicional para priorização de agendas ligadas à Governança de Dados, Gestão de Processos, Privacidade e Segurança da Informação e Relacionamento com o Cliente. Com recursos finitos para proteção de dados, é preciso definir qual será a parcela de dados críticos que fará parte da inteligência do negócio e que merecerá investimentos para segurança. Estes desafios são perenes às organizações.
Observamos ainda um cenário de baixo envolvimento das empresas quanto a estes temas na prática de forma geral. Segundo artigo da Harvard Business Review um estudo mostrou que apenas 3% das empresas entrevistadas atingiam níveis de qualidade satisfatórios na governança de dados que realizavam. E, mesmo com o aumento significativo de casos de vazamento de dados, a pesquisa IT Snapshot 2019, realizada pela Logicalis, empresa global de soluções e serviços de tecnologia da informação e comunicação, aponta que 4 em cada 10 empresas não possuem um plano integrado de segurança, optando por iniciativas pontuais.
Por outro lado, existem diversos casos de sucesso de organizações que decidiram iniciar a trajetória de adequação à LGPD mesmo antes de sua entrada em vigor, aproveitando a jornada para estruturar processos de governança, privacidade e proteção de dados. Adotar uma abordagem que vai além da conformidade regulatória tem se mostrado uma inciativa bastante agregadora capaz de reforçar a tomada de decisões estratégicas com base em dados mais confiáveis e seguros.
Alguns casos de sucesso:
Os parceiros da Bridge que possuem negócios do tipo Business to Consumer (B2C) e atuam, majoritariamente, como controladores de dados na cadeia, buscaram a evolução da maturidade da governança de dados como principal benefício adicional ligado ao esforço de adequação à lei.
Projetos em empresas do setor financeiro envolveram o mapeamento do fluxo dos dados do core business da organização, visando a compreensão do seu ciclo de vida desde a coleta até o expurgo. No caso das empresas B2C, o mapeamento dos dados pessoais deve ser extenso, sendo necessário envolver quase todas as áreas que coletam e tratam dados dos clientes para identificação da finalidade de uso.
Como resultado, obteve-se melhor visibilidade da esteira de transformação dos dados da companhia. Fez-se uma clara distinção entre os dados extraídos de fontes públicas e sem diferenciação entre concorrentes, e os dados considerados nobres, enriquecidos com inteligência de negócio e que requerem recursos para sua proteção. Os pontos de melhoria no fluxo dos dados foram apontados com base nas prioridades de acordo com impacto e risco de vazamento.
Já no contexto das empresas que possuem negócios do tipo Business to Business (B2B), atuando, majoritariamente, como operadoras de dados na cadeia, o maior motivador é demonstrar efetivamente que são capazes de tratar e proteger os dados críticos de seus clientes (pessoas jurídicas).
É comum haver forte cobrança de grandes empresas a seus fornecedores quanto à adoção de controles de segurança, uma vez que as empresas B2B são agentes responsáveis pelo tratamento de dados do cliente final. Por exemplo, uma empresa de call center (B2B) é fornecedora de uma seguradora (B2C) para atendimento ao cliente final e precisa coletar informações do segurado para resolução de demandas relacionadas ao serviço contratado. O esquema abaixo retrata a cadeia de tratamento dos dados:
Atores na cadeia de tratamento de dados
Nesse contexto, são os aspectos mercadológicos que levam as organizações a se adequarem a frameworks de mercado e buscarem certificações, como a ISO 27.001, como uma forma de comprovar que a organização tomou as medidas necessárias quanto à segurança da informação.
Sobre projetos em empresas B2B, a Bridge realizou o mapeamento de dados pessoais e adequação à LGPD em empresas que são plataformas on-line que lidam com dados de seus clientes no setor de varejo. Nota-se que, nesse tipo de empresa, geralmente existe uma menor quantidade de dados pessoais envolvidos em seus processos, uma vez que seus clientes são em grande parte pessoas jurídicas, as quais não fazem parte do escopo da lei. O mapeamento de dados pessoais, portanto, tende a se restringir às áreas de RH e Compras, com foco em dados de funcionários e fornecedores.
A abordagem da Bridge se direcionou, portanto, ao entendimento das vulnerabilidades de segurança existentes nos processos diretamente ligados a dados sensíveis e seu nível de criticidade e ao estabelecimento de diretrizes para a certificação da ISO 27.001, fornecendo plano de ação adequado à estrutura e cultura da organização.
O caminho para a adequação à LGPD, portanto, pode ir muito além de um simples projeto pontual e padronizado com viés jurídico para revisão de termos de consentimento e minutas contratuais. Cada organização demandará uma abordagem mais voltada para governança de dados ou segurança da informação, levando em consideração a natureza do setor, de sua operação e suas prioridades estratégicas.
Assim, a nova legislação traz a oportunidade de revisitar toda a forma com que a organização lida com a gestão dos seus dados, a qual está intrinsecamente ligada ao próprio jeito de fazer negócios.
A Bridge Consulting pode auxiliar sua organização a conduzir essa jornada frente à LGPD. Entre em contato e agende uma conversa com nossos especialistas: contato@bridgeconsulting.com.br.
Fernando Batista é Associate Partner na Bridge Consulting, responsável pelos projetos de LGPD e Segurança da Informação. É formado em Engenharia Mecânica pela UNICAMP e construiu sua carreira atuando em projetos complexos envolvendo a fronteira Negócio e Tecnologia da Informação.
Patrícia Moraes é Project Leader na Bridge Consulting. Possui formação em Engenharia Química pela UFRJ e certificação CBPP® e Scrum. Atualmente, gerencia equipes com foco em melhoria e automação de processos, reestruturação organizacional e adequação de empresas à LGPD nos setores financeiro, papel e celulose, têxtil, dentre outros.