Erros comuns nos projetos de adequação e como evitá-los
Os projetos de adequação ganham cada vez mais prioridade na pauta das cooperativas e a razão para isso é simples: elas estão sujeitas à LGPD e a outras regras e resoluções que também abordam aspectos relacionados à privacidade e proteção de dados pessoais.
Para que esses projetos alcancem os resultados esperados, é importante que a condução do processo considere a cooperativa como um todo, bem como as suas especificidades e as melhores práticas de mercado.
Saiba quais são os erros comuns nos projetos de adequação e como podem ser evitados para garantir a conformidade da cooperativa à LGPD.
1. Considerar apenas algumas áreas
Quando se fala em adequar uma cooperativa à LGPD, é preciso ter em mente que todas as suas áreas devem ser envolvidas. E são todas mesmo! É um equívoco pensar que a LGPD é responsabilidade apenas do Jurídico ou da Tecnologia da Informação (TI). Cuidado: Projetos de adequação que consideram apenas parte das áreas dão uma falsa sensação de conformidade e colocam a cooperativa em alto risco.
Por isso, a primeira coisa a fazer é pensar o todo. Isso porque as atividades da cooperativa são executadas por pessoas e todas elas, no exercício de suas funções, em qualquer área, em alguma medida, precisam aderir à cultura da privacidade e proteção de dados pessoais, incorporando no seu dia a dia práticas referentes ao tema.
A participação das áreas também é imprescindível no mapeamento das atividades de tratamento de dados pessoais (ou seja, no mapeamento dos processos de negócio da cooperativa que envolvem a utilização dessas informações) e, posteriormente, na implementação das ações corretivas (para correção de falhas ou pontos em aberto, tanto jurídicos quanto organizacionais e de segurança da informação).
2. Não mapear processos ou mapeá-los de forma inconsistente
O mapeamento adequado dos processos da cooperativa que utilizam dados de pessoas físicas é um passo fundamental do projeto de adequação. Muitas ações posteriores serão executadas com base nesse mapeamento. Além disso, ele é ferramenta básica para atender aos direitos dos titulares e também para possibilitar a elaboração do Registro das Operações de Tratamento de Dados Pessoais.
Por isso, atenção: Mapeamentos incompletos não fornecem os subsídios necessários para o desenvolvimento do projeto e comprometem o programa de conformidade da cooperativa!
Anote alguns dos pontos que obrigatoriamente devem ser levantados no mapeamento:
- Dados pessoais ou dados pessoais sensíveis utilizados em cada um dos processos, categoria das pessoas que têm seus dados pessoais tratados (isto é, identificação se são colaboradores, associados, prestadores de serviço, visitantes e etc.);
- Sistemas relacionados a cada um dos processos, prazos de retenção, compartilhamento de dados pessoais com terceiros (outras cooperativas, empresas e órgãos públicos);
- Existência de transferências internacionais, medidas de segurança aplicadas no processo, objetivos e finalidade da utilização dos dados pessoais (também de forma individualizada por processo), entre outros.
Outra dica é que é necessário ter experiência em mapeamento de processos para participar desta atividade. O mapeamento pode ser realizado por meio de entrevistas ou de respostas a questionários com perguntas previamente definidas para identificação dos pontos necessários à avaliação de conformidade.
Lembre-se: O que não for mapeado dificilmente será corrigido.
3. Falta de engajamento da alta gestão
O posicionamento da alta gestão determina como a visão da cooperativa e a sua cultura incorporam o tema da privacidade e proteção de dados pessoais. Quanto mais engajada ela estiver, melhor e mais efetiva serão as respostas dos demais envolvidos no processo. Isso porque as medidas de adequação costumam impactar hábitos, exigindo motivação, empenho e dedicação de toda a equipe. Por isso, é preciso transmitir uma mensagem clara de que o tema LGPD deve ser enfrentado com qualidade e, na maioria das vezes, com prioridade.
Sem esse engajamento e suporte da alta gestão, a cooperativa terá dificuldades para atingir os objetivos definidos, causando, inclusive, prejuízos em relação aos investimentos eventualmente realizados.
Lembre-se: A adequação à LGPD só será efetiva se a alta gestão definir a privacidade e proteção de dados pessoais como valores da cooperativa.
4. Não definir um comitê e não nomear encarregado pelo tratamento de dados pessoais
O Comitê de Privacidade e Proteção de Dados Pessoais é o responsável por implantar e manter o programa de conformidade na cooperativa. Ele deve ser composto por representantes de áreas-chave, garantindo que a equipe seja multidisciplinar e possa compartilhar as suas atribuições.
Se ocorrer demora na nomeação do Comitê, o cronograma do projeto ficará comprometido. Se o Comitê não é nomeado ou não assume de fato as suas responsabilidades, a implantação do programa de privacidade e proteção de dados, por consequência, se torna inviável.
Por isso, mesmo que esteja bem assessorada por prestadores de serviço especializados nos temas jurídicos, organizacionais e de segurança da informação necessários para conformidade com a LGPD, a cooperativa precisa de pessoas (recursos internos) capazes de conduzir uma série de ações fundamentais para o sucesso do programa.
O Encarregado pelo tratamento de dados pessoais, por sua vez, é o responsável pela comunicação com os titulares dos dados pessoais e com a Autoridade Nacional de Proteção de Dados (ANPD) e tem inúmeras responsabilidades referentes à manutenção da conformidade na cooperativa.
Assim, é recomendável que o Encarregado seja nomeado o quanto antes para acompanhar o projeto de adequação desde o início. Além disso, é importante que ele não acumule esta função com outras em que possa ocorrer conflito de interesses.
5. Implantação parcial de políticas e normas
Políticas e normas são documentos importantíssimos que declaram a visão da cooperativa sobre privacidade, proteção de dados pessoais e segurança da informação. Elas determinam as diretrizes que a cooperativa deve seguir com relação a esses temas.
Dessa forma, todas as áreas (no que compete a cada uma) devem realizar suas atividades em conformidade com as políticas e normas. Fornecedores também precisam estar cientes das principais diretrizes do programa de conformidade e devem se adequar para realizar a prestação de serviços nos limites informados.
Políticas e normas parcialmente implementadas geram evidências de não-conformidade. E isso é justamente o contrário do que se deseja, além de poder gerar outros impactos negativos como questionamentos sobre as diretrizes definidas, o que colocaria em dúvida a própria solidez do programa de conformidade.
Lembre-se: As diretrizes que estão registradas em políticas e normas devem refletir aquilo que acontece, de fato, no dia a dia da cooperativa.
6. Implementar soluções padronizadas
Embora existam pontos em comum entre as cooperativas, cada uma tem as suas particularidades. Processos podem ser muito parecidos, mas geralmente são executados de maneiras diferentes e, por isso, exigem soluções específicas.
As necessidades, prioridades e riscos também são específicos em cada cooperativa, especialmente quando se considera a grande multiplicidade e distinção entre os ambientes físicos e digitais nos quais as atividades são realizadas Não há como utilizar soluções de gaveta para contextos diferentes sem comprometer a conformidade ou o negócio.
Lembre-se: Soluções mágicas não existem! É preciso avaliar o contexto de cada cooperativa e buscar as melhores práticas, estrategicamente alinhadas com os objetivos de negócio. O apoio de consultoria especializada, experiente e capacitada pode ser fundamental para alcançar os resultados almejados.
7. Não focar em treinamento e conscientização
Como é de conhecimento de todos, as cooperativas são constituídas de pessoas. São pessoas que trabalham, produzem e legitimam todas as suas ações. É fundamental, portanto, que essas pessoas compreendam a importância do seu papel para o desenvolvimento do projeto de adequação e para posterior manutenção de um Programa de Conformidade.
É preciso ter em mente que trabalhar tendo a privacidade e proteção de dados pessoais como princípio norteador representa uma mudança de cultura significativa. Leva tempo e demanda a execução contínua de ações de engajamento com todos os envolvidos.
Assim, não é suficiente, por exemplo, apresentar uma palestra ou enviar uma apresentação para um colaborador novo e considerar que ele está ciente do que representa a privacidade e proteção de dados pessoais para a cooperativa. Um cooperado também precisa entender o que significa para ele a implantação de práticas que garantem a proteção de seus dados pessoais e porque são implementadas.
Cada colaborador tem um papel-chave no que se refere à garantia de segurança da informação. Por isso, não adianta realizar altos investimentos em equipamentos e ferramentas de segurança da informação, se as pessoas não conseguem identificar riscos básicos ou não fizerem as comunicações necessárias quando desconfiarem de algo fora do esperado.
Lembre-se: É fundamental a implantação de um plano de treinamentos continuados que relembre e reforce conceitos, práticas e a responsabilidade de cada um para a segurança da informação e proteção de dados pessoais. A falta da implantação de ações de conscientização e treinamento contínuos compromete a conformidade.
8. Ausência de documentação das ações de correção e prevenção que são realizadas para cumprir a LGPD
Tão importante quanto estar em conformidade é evidenciar a conformidade. Por isso, é necessário comprovar a conformidade em diversas situações, como por exemplo, quando parceiros realizarem auditorias, por exigência da ANPD em processos de fiscalização ou, ainda, em processos judiciais – quando a LGPD for fundamento para o ajuizamento da ação.
Para que a cooperativa esteja pronta para tais situações, não perca credibilidade, nem sofra sanções e multas que podem inviabilizar o negócio, é preciso que as práticas de privacidade, proteção de dados pessoais e segurança da informação sejam formalizadas.
A documentação (políticas, normas, procedimentos, formalização da nomeação de comitês, atas de reunião, registros de presença e comprovação da realização de treinamentos, relatórios de testes de intrusão, ações de prevenção a incidentes, avaliação de riscos, dentre outras) que sustenta e comprova a existência e eficácia do programa de conformidade deve estar sempre atualizada e disponível.