Adequação à LGPD e os desafios do Encarregado Interno

Muitas organizações hoje enfrentam uma pressão significativa para se adequarem a Lei Geral de Proteção de Dados*, primeiro devido as altas penalidades da lei por não conformidade e em segundo lugar, caso aconteça algum incidente a exposição pública pode afetar drasticamente seus negócios. Isso requer a integração dos requisitos da lei aos processos de dados existentes, o que pode ser particularmente desafiador para organizações com redes de dados complexas (EKMAN, 2016).

A implementação da Lei Geral de Proteção de Dados no Brasil, depende de profissionais multidisciplinares, principalmente em se tratando da função de Encarregado Interno de Dados. Isso se deve a proteção de dados que se cruza com vários campos, como Direito, Tecnologia e Gerenciamento de Negócios. A estrutura abrangente da LGPD exige que os profissionais possuam diversas habilidades para garantir conformidade e desta forma aproveitar a proteção de dados como um ativo comercial. Detalhando os campos requeridos temos:

Experiência jurídica: Entender os requisitos legais da LGPD* é fundamental. Os encarregados devem interpretar e aplicar as disposições da lei para garantir que as práticas de tratamento de dados estejam em conformidade. Isso envolve o conhecimento dos princípios legais e a capacidade de navegar pelos cenários regulatórios (JORGENSEN, 2022).

Habilidades técnicas: A implementação dos princípios da LGPD no desenvolvimento de software requer conhecimento técnico. Os desenvolvedores precisam estar familiarizados com as tecnologias e técnicas de preservação da privacidade para integrar a proteção de dados em aplicativos digitais de forma eficaz. A falta de conhecimento técnico pode dificultar os esforços de conformidade (SILVA, 2023)

Visão de negócios: Além da conformidade, a proteção de dados pode aumentar o valor comercial ao aumentar a confiança do cliente e atrair novos clientes. Os profissionais devem entender como alinhar as estratégias de proteção de dados às metas de negócios para criar vantagens competitivas (FARIAS, 2022)

Devido a amplitude da lei, existe por parte dos Encarregados de Dados a dificuldade em se adotar evidências tanto qualitativas, tanto quantitativas da aplicação da lei, além da necessidade de mapear redes de dados complexas de forma abrangente. Grandes organizações apresentam conformidade razoável em relação a pequenas e médias empresas, entretanto se as pequenas e médias empresas com forte foco em proteção de dados, tem ampla aderência em relação a Lei Geral de Proteção de Dados. Para Sirur 2018, os desafios decorrem do amplo escopo dos requisitos da LGPD* e das complexidades envolvidas nos processos de implementação e verificação. Pequenas e Médias Empresas que não atuam com foco em proteção de dados geralmente têm mais dificuldades com a conformidade, devido a recursos limitados em comparação com grandes organizações que tem a conformidade mais gerenciável.

Alcançar a conformidade exige não apenas ajustes técnicos, mas também uma mudança cultural nas nossas organizações para que a prioridade e a proteção dos dados sejam aspectos fundamentais das operações cotidianas (CANEDO, 2021). Os Encarregados Internos devem conhecer e orientar os colaboradores e colegas em relação a proteção dos dados dos titulares. Outro ponto importante é conhecer a origem e destino dos dados, além de todas as etapas de tratamento, desde a geração do dado até a sua exclusão. Só este ponto, torna a função de Encarregado uma tarefa contínua que praticamente o leva a mapear não só as novas instâncias de processos, mas àqueles em andamento ou concluídos muitas vezes em sistemas legados e em bases arquitetadas em um passado onde não se pensava em conformidade e compliance.

Outro ponto importante é a implementação de mecanismos de consentimento efetivos, pois as organizações, principalmente na área privada, devem garantir que o processamento de dados seja conduzido com o consentimento explícito e informado aos detentores dos dados (PEIXOTO, 2019). Este ponto é fundamental para o exercício das funções dos Encarregados, visto que lidam diretamente com o titular dos dados. A gestão do consentimento envolver a criação de sistemas que permitam identificar de forma correta a finalidade e o objetivo que os dados em questão foram coletados. A complexidade de gerenciar o consentimento, muitas vezes obtidos em vários formulários e diversos sistemas diferentes, que garantam aos detentores dos dados acesso livre e facilitado aos seus dados continua sendo um obstáculo significativo.

Falando agora da área de Tecnologia, as organizações, principalmente aquelas que não nasceram na era da digital enfrentarão grandes dificuldades em seus sistemas para integrar os requisitos da LGPD, principalmente com os sistemas legados. A integração com os requisitos da lei é condição básica para a conformidade, e vai obrigar as organizações a adequar seus sistemas legados para lidar com a privacidade dos dados. Isso vai requerer muitos ajustes técnicos e criação de novas funcionalidades, como a que falamos acima, por exemplo: a gestão do consentimento.

O desafio é ainda mais complicado pela necessidade de integração semântica, que vai envolver a criação de ontologias e abordagens sistêmicas para garantir que os processos de tratamento de dados estejam em conformidade com a LGPD. Isso tudo, sem interromper as operações vigentes.

Inserir a LGPD no dia a dia da organização não deve ser visto meramente como uma tarefa técnica ou operacional, mas como um processo contínuo de melhoria da cultura organizacional (CARR, 2023). Importante frisar que não é um processo linear, que pode ser feito de ponta a ponta, sem a interposição de fases. Neste aspecto as Metodologias Ágeis e frameworks como o Scrum, que são facilmente adaptáveis a qualquer tipo de contexto podem ajudar a estruturar uma forma de se adequar a LGPD. Não existe uma receita, algo pronto que funcione em uma organização que você pode levar para a sua sem algum tipo de customização. E este é o ponto onde o Encarregado de Dados precisa se destacar: usar a criatividade, para inserir a LGPD no negócio da organização, de forma a otimizar os recursos e conscientizar a todos da importância da lei.

O tema é amplo e ainda tenho muita coisa para escrever. Mas fica a dica em relação ao início do trabalho de Encarregado Interno: nós teremos que ir atrás da informação, ela não irá aparecer magicamente formatada nas nossas caixas de e-mail. Será um trabalho de coleta sistemática de dados, políticas de segurança da informação, educação dos nossos colegas e estudo contínuo da lei.

* No artigo citado, a referência utilizada foi a GDPR. O autor deste artigo alterou a lei Europeia para a LGPD devido as similaridades de adequação ao contexto do artigo.

Para escrever este artigo, utilizei as seguintes referências

Edna, Dias, Canedo., Vanessa, Coelho, Ribeiro., Ana, Paula, de, Aguiar, Alarcão., Lucas, Alexandre, Carvalho, Chaves., Johann, Nicholas, Reed., Fábio, Lúcio, Lopes, de, Mendonça., Rafael, Timóteo, de, Sousa, Júnior. (2021). Challenges Regarding the Compliance with the General Data Protection Law by Brazilian Organizations: A Survey. 438-453. doi: 10.1007/978-3-030-86970-0_31

Marcello, Peixoto, Bax., João, Luiz, Silva, Barbosa. (2019). Proposta de Mecanismo de Consentimento na Lei Geral de Proteção a Dados – LGPD (Consent Mechanism Proposal in LGPD).. 316-321.

Anne, Hovgaard, Jørgensen. (2022). A CENTRALIDADE DO TITULAR NA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD): #meusdadosminhasregras. 8-24. doi: 10.36926/editorainovar-978-65-5388-132-7_001

G., Silva., Edna, Dias, Canedo. (2023). Privacy Compliance in Software Development: A Guide to Implementing the LGPD Principles. doi: 10.1145/3555776.3577615

Francyelcyo, Pussi, Farias., Rodolfo, Miranda, de, Barros. (2022). LGPD – From Theory to Practice. 1-6. doi: 10.23919/cisti54924.2022.9820267

Sean, Sirur., Jason, R., C., Nurse., Helena, Webb. (2018). Are We There Yet?: Understanding the Challenges Faced in Complying with the General Data Protection Regulation (GDPR). 88-95. doi: 10.1145/3267357.3267368

Leon, Wipp, Ekman., Petter, Billgren. (2016). Compliance Challenges with the General Data Protection Regulation.

Caroline, Nunes, Carr. (2023). Metodologia Scrum: Uma aliada na implementação da LGPD. Research, Society and Development, 12(4):e22712441189-e22712441189. doi: 10.33448/rsd-v12i4.41189

Sobre o autor

Rodrigo Zambon

Sólida experiência em Metodologias Ágeis e Engenharia de Software, com mais de 15 anos atuando como professor de Scrum e Kanban. No Governo do Estado do Espírito Santo, gerenciou uma variedade de projetos, tanto na área de TI, como em outros setores. Sou cientista de dados formado pela USP e atualmente estou profundamente envolvido na área de dados, desempenhando o papel de DPO (Data Protection Officer) no Governo.