O jogo dos 7 erros da LGPD: o que ainda não te contaram sobre o projeto de adequação

Autores: Luis Fernando Prado Chaves e Paulo Vidigal

O jogo dos 7 erros é uma divertida brincadeira que prende a atenção de qualquer um. Inicialmente fácil, esse passatempo sempre atinge um determinado ponto em que o jogador começa a pensar em desistir, por não achar os últimos e mais bem escondidos erros. Quando encontrados, finalmente, a reação é gritar: nossa, estavam bem na minha cara. A seguir, após uma breve introdução, vão as dicas de quem suou para encontrar esses erros no contexto dos projetos de adequação à LGPD.

A aproximadamente 10 meses da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o momento é vital: empresas que já vêm passando pelo trabalho de adequação estão quebrando a cabeça para superar as barreiras e desafios, enquanto muitas outras estão se preparando para dar o pontapé inicial muito em breve.

Do lado de cá, das consultorias (sejam técnicas ou jurídicas), os discursos não saem muito das mesmices, que geralmente incluem até imprecisões e falácias sobre a nova Lei. No entanto, fato é que muitas das empresas já estão ganhando elevado nível de consciência e maturidade em proteção de dados, de modo que o discurso raso (ou mesmo errado) já não vende mais com tanta frequência. Nesse sentido, o intuito deste artigo é trazer observações mais profundas sobre o trabalho de adequação à LGPD sob a óptica de quem, em outras ocasiões, já esteve à frente de mais de uma centena de projetos – e, portanto, já viu muita coisa por aí.

Se você trabalha com o tema ou já foi abordado por alguém querendo lhe oferecer serviços de adequação, você já deve ter ouvido que a multa por violação da Lei pode chegar a R$ 50.000.000,00, que a adequação exige um trabalho multidisciplinar e que muitos pontos da Lei ainda dependerão de diretrizes da Autoridade Nacional de Proteção de Dados (ANPD), mas talvez ainda não tenha as pistas de onde estão os 7 erros:

1 – Projetos enlatados podem não ser a melhor pedida

No campo de vendas, há uma conhecida (e famigerada) técnica que consiste em criar dificuldades para vender facilidades. Com a LGPD, em vista da novidade do tema, tais dificuldades sequer precisaram ser preparadas. Desde a aprovação da lei, inúmeros desafios vieram à tona: como obter consentimento corretamente? Como viabilizar o cumprimento de solicitações de direitos dos titulares? Como atender aos princípios legais? Como definir quem ocupará a função de DPO?

Todas essas perguntas apontam para respostas multidisciplinares, que merecem approach jurídico, técnico e operacional. Natural, portanto, que as dúvidas produzam uma nuvem de poeira, que cega e paralisa. Para piorar, aqueles que se apresentam como especialistas trazem à mesa diversas metodologias, com a promessa de solução de todos os problemas, como se fosse algo plug and play.

Essa realidade (de muitas dúvidas e variadas soluções) bombardeia o mercado e sufoca os responsáveis internos pela implementação. Pressionados, estes reagem com comportamentos polarizados. Uns desenvolvem ceticismo: surgem os boatos de que a lei não vai pegar, de que o prazo vai ser postergado, de que o Presidente vai cassar a lei, de que o mercado vai simplesmente ignorar esse assunto. Outros desenvolvem pânico: propaga-se o medo das multas milionárias, prega-se o desaparecimento de negócios, instaura-se o caos.

Mas a verdade, como quase sempre, está no meio do caminho. O trabalho é, sim, desafiador. No entanto, é também factível. Esse fato fica bem claro quando nos damos conta de que a lei foca mais no que do que no como. Isso quer dizer, a lei impõe que os agentes de tratamento encarem o tema de proteção de dados com seriedade (em homenagem ao princípio da responsabilização e prestação de contas), contudo permite relativa maleabilidade em como fazê-lo. Do ponto de vista técnico, isso é ainda mais evidente. A lei é tecnologicamente neutra, deixando a cargo do agente que defina (de maneira responsável) a estrutura e soluções que serão empregadas.

Logo, o trabalho de adequação é propositadamente modulável de acordo com a empresa, seu porte e seus negócios. Sendo assim, não cabe gastar energia em tentar prever tudo o que será necessário antecipadamente, mas iniciar a jornada e estar pronto para corrigir a rota as we go. Por isso é que essa jornada não pode ser enlatada, nem conduzida a toque de caixa. Produtos de prateleira, em situações mais desafiadoras, dificilmente atenderão às necessidades. Do mesmo modo, RFQs frankenstein (que compilam propostas de variados players) dificilmente criarão o escopo ideal. A melhor abordagem, então, é apostar em propostas que prestigiem momentos reais de descoberta e que acomodem a remodelagem que naturalmente haverá no meio do caminho. Em alguns casos, fará mais sentido contar com uma consultoria aberta, a ser utilizada quando efetivamente necessária, do que adquirir um produto pré-formatado e totalmente padrão que não agrega valor.

Resumindo: nenhuma RFQ, RFP ou proposta de trabalho é capaz de prever tudo o que será necessário durante a adequação da empresa, razão pela qual aquela consultoria que se mostrar mais flexível na forma de atuação deveria ganhar mais pontos no momento da escolha.

2 – A consultoria não vai resolver sozinha (mas vale deixá-la conduzir)

Fazer um monte de entrevistas com participantes de um bid e superar a árdua etapa de contratação não vai resolver todos os problemas. Muito pelo contrário. É após a contratação que a coisa começa. A participação dos responsáveis internos é chave. Contudo, novamente deve se apostar no equilíbrio. Participar não é atropelar a consultoria, exigindo algo que, talvez, do ponto de vista legal, não faça sentido. A contratação pressupõe confiança, então pode não ser uma boa ideia impor a metodologia a ser aplicada. Isso pode simplesmente bagunçar o fluxo de quem te atende, comprometendo a qualidade. Pense em contratar um pintor, mas exigir que ele crie o quadro usando os pés em vez das mãos; pode não ser uma boa ideia. Se há preferência por uma ou outra abordagem, essa questão tem de ser definida antes da contratação. De todo modo, isso não exclui a importância de que se acompanhe de perto e se dialogue a todo tempo com a consultoria. Isso enriquece o trabalho. Até porque muito da implementação fica a cargo da contratante. Para usar outra analogia, a consultoria predominantemente atua como uma nutricionista, que traça a dieta, cabendo ao paciente que deseja emagrecer efetivamente colocar em prática aquele plano. Portanto, não fuja da responsabilidade.

3 – Não dá para simplesmente copiar e colar aquilo que vem da Europa

É comum ver empresas superconfiantes com o processo de adequação à LGPD, por terem passado pela experiência de conformidade com o GDPR. Normalmente, argumentam que basta a tropicalização de documentos e pronto. Infelizmente, nem sempre é tão fácil. Seja qual tenha sido o processo aplicado, não custa revisá-lo. Estamos falando de legislações similares, é verdade, mas seria ingenuidade achar que tudo deve ser religiosamente igual (ainda mais diante da existência de legislações setoriais bastante particulares de cada localidade, bem como de prazos e níveis de rigor distintos para determinados tópicos). Não é dizer que se tenha de reinventar a roda; aproveitar o aprendizado e os insumos do processo vivido é vital para se ganhar agilidade e congruência. Mas não dá para ignorar as exigências da LGPD, que, em vários pontos, chagam a ser mais duras que aquelas do GDPR.

4 – O mapeamento é meio, não fim

Relatórios coloridos de fluxo de dados, análises quantitativas das informações e matrizes de risco detalhadas não são insumos suficientes para se dizer que há nível satisfatório de adequação. Nesse sentido, vale lembrar que o mapeamento é uma atividade meio do plano de adequação, mas não fim. O erro mais comum que vemos na prática é um mapeamento sendo realizado sem qualquer tipo de insight jurídico, o que, inevitavelmente, resulta na inutilidade do trabalho para identificação de pontos de correção à luz da LGPD. Para nós, consultores jurídicos, de nada adianta sabermos que o seu departamento financeiro possui 2.000 números de agência e conta bancária na base ou que a sua área de suprimentos tem uma interação com a área de Compliance.

5 – O enquadramento dos processos às bases legais não os torna regulares

Ah, legal. Isso é “legítimo interesse”. Opa, isso está dentro de “execução de contrato”. Qualquer análise jurídica de adequação à LGPD que pare no enquadramento das operações às bases legais é totalmente insuficiente. Para além das bases legais, a LGPD traz outros 3 eixos de igual importância: princípios, direitos dos titulares e regras de governança. Portanto, uma análise baseada exclusivamente no enquadramento da base legal é totalmente míope e precária, sendo insuficiente para se demonstrar nível satisfatório de Compliance. Mais do que isso, de nada basta ter uma lista bonitinha de processos e bases legais correspondentes se nada disso sai do papel. Lembremos que, por exemplo, se a minha base legal é o consentimento, isso tem de estar refletido em um processo, por vezes amparado em tecnologia, para que a adequação de fato aconteça na prática.

6 – Aceite que nem todos seus contratos precisarão de revisão

O princípio de Pareto (ou regra do 80/20) dita que, geralmente, aproximadamente 80% dos efeitos vêm de 20% das causas. Esse racional, aplicado ao processo de adequação à LGPD, nos ensina que não vale gastar energia em preciosismos durante o projeto. É preciso ser realista e trabalhar com alternativas criativas, como banco de cláusulas e revisão pontual daqueles contratos que suportam operações efetivamente arriscadas do ponto de vista de proteção de dados, acompanhadas de boas pitadas de olhar de negócio, para identificação de janelas que ofereçam oportunidades inteligentes de negociação, a fim de não sobrecarregar a operação e/ou estressar relações comerciais importantes.

7 – Escolha bem, para não ter que escolher duas vezes

Para terminar, necessário destacar que há um fato ocorrendo no âmbito das consultorias em proteção de dados que vem sendo pouco noticiado, mas que deveria, por questões de interesse geral, ser mais difundido. Há prestadores de serviço com sérias dificuldades de entregar seus trabalhos, seja em razão do volume, seja em razão de falta de conhecimento – quando não por ambos os fatores.

Não tem sido raro presenciarmos empresas desesperadas em razão de terem desperdiçado seus budgets em contratações que não atingiram um nível mínimo de satisfação. Em tempos de corrida maluca do mercado de consultorias e das empresas em torno do trabalho de adequação à LGPD, a grande dica que fica é: procure quem realmente saiba fazer e, ao mesmo tempo, terá tempo para entregar. Por fim, não caia no conto das consultorias jurídicas que dizem entregar aquilo que não é trabalho jurídico ou das consultorias de tecnologia que dizem entregar aquilo que é jurídico.

Identificados os caminhos para se encontrar os 7 erros de um processo de adequação à LGPD, agora estamos aptos a seguir novos desafios, como desvendar as palavras cruzadas trazidas pelos princípios, resolver a charada sobre o legítimo interesse, concluir o quebra-cabeça da estruturação do DPO e resolver o sudoku trazido pelas bases legais.

E você, quais desafios tem encontrado?

Comments 1

  1. Excelente análise e alertas para quem realmente pretende se adequar à lei.

Deixe uma resposta

O seu endereço de e-mail não será publicado.

Conheça um pouco mais sobre as nossas empresas e soluções:

× Como posso te ajudar?

Entre em contato