“Diferencial competitivo, relacionamento com o titular dos dados, reputação, boas práticas. Acreditamos que a LGPD é uma oportunidade”.
A análise vem de Rita de Cácia de Medeiros Guerim, Gerente Jurídica do Grupo Paranaense de Comunicação (GRPCOM) e DPO, ou seja, a encarregada de Proteção de Dados para a adequação da Lei Geral de Proteção de Dados da organização.
Em webinário realizado pela CWBUS Inovação em parceria com o escritório Santiago, Bega & Petry Advocacia, Rita trouxe um case prático sobre as etapas do processo de adaptação à LGPD no GRPCOM aos empresários e participantes desse exclusivo evento. Acompanhe em linhas gerais a Estruturação do Projeto conforme o case apresentado.
O GRPCOM
O GRPCOM é hoje o maior grupo empresarial de comunicação do Paraná e um dos maiores do Brasil.
Fazem parte do grupo os jornais Gazeta do Povo e Tribuna, as rádios FM 98, Mundo Livre e Capital, as emissoras da RPC afiliadas à rede Globo com cobertura em todo o Paraná, o Instituto GRPCOM, que realiza projetos sociais em todo o Brasil e pela unidade móvel de alta definição HDView.
Com a missão de “Estimular em cada um o desejo de ser melhor e de contribuir para o bem da sociedade”, o grupo empresarial busca trazer informações relevantes do dia a dia das cidades, do país e dos fatos que movimentam o mundo.
PROJETO DE LGPD NO GRPCOM
Incialmente, o projeto de LGPD foi estruturado em três pilares estratégicos:
Processos: Identificação e mapeamento do fluxo de dados pessoais na organização.
Tecnologia: Estruturação de Banco de Dados, aplicações e ferramentas de segurança.
Pessoas: Mudança de cultura, capacitação e adoção de política de segurança da informação.
Perguntas iniciais do projeto:
LGPD consultoria externa ou não? Qual estrutura interna trabalhará no projeto?
“Contratamos a PWC em função do know-how e expertise com LGPD e GDPR, e para nos ajudar a estruturar todo o projeto. Posteriormente, instituímos um Comitê interno de LGPD com representantes do jurídico e TI de cada negócio.
Os próximos passos foram a definição do sponsor do projeto, Kickoff com CEO e diretores e a realização de workshops para nivelamento de conhecimento sobre questões básicas para todos os colaboradores e embaixadores de privacidade. A data inicial foi 20 de janeiro de 2020.
Depois de ter os pilares estratégicos definidos, partimos para a fase de diagnóstico, que levou cerca de quatro meses em função das adaptações de datas de entrada em vigor da Lei e do período de pandemia”.
Fase de Diagnóstico
Fase 1 – Mobilização e Planejamento.
Fase 2 – Data Mapping e Data Discovery.
Fase 3 – Gap Analysis com LGPD.
Fase 4 – Roadmap e Planos de Ação.
“Tempo estimado inicial de 9 a 12 semanas e fechamos em 16 semanas, estendendo em decorrência das mudanças legislativas, home office e demais impactos da pandemia”, explica Rita.
Após a fase de diagnóstico, foram estruturados o roadmap e planos de ação que descrevemos a seguir em 8 passos:
Roadmap e Planos de Ação Iniciais
1. Estruturar a governança Interna, que pode ser por meio de um “escritório de privacidade” com pessoas e definições de responsabilidades e escopo;
2. Nomear o DPO – encarregado de Proteção de Dados;
3. Criar canal para interação com titulares de dados; a lei prevê o prazo de até 15 dias para respostas aos titulares.
4. Revisar e criar as políticas internas (política de segurança da informação) e políticas “externas” (de interação com titulares nos sites – políticas de privacidades, de cookies e termos de uso);
5. Revisar as Tecnologias homologadas – apresentação e validação das soluções de TI;
6. Mapear os processos. Definir as bases legais para o tratamento dos dados conforme o seu negócio. Após, ranquear os processos de maior e menor impacto; Ex: aditivos contratuais com operadores de dados pessoais e sensíveis;
7. Realizar relatório de impacto (DPIA) em processos críticos, desenhar fluxos e formas de interação com o titular dos dados e a autoridade nacional / ANPD;
8. Implementar os planos de ação, testar e corrigir eventuais gaps.
Como um trabalho construtivo, Rita pontua que: “As empresas devem estar preparadas para a interação com a ANPD (Autoridade Nacional de Proteção de Dados), que terá como atuação básica a fiscalização do cumprimento da Lei Geral de Proteção de Dados, assim como devem garantir a implantação de canais de atendimento aos titulares de dados.
E aí surgem novos questionamentos: Estamos preparados para responder aos nossos clientes/titulares sobre quais dados temos sobre eles em nossos bancos de dados?
Estamos preparados para responder à ANPD, ou a outro órgão com poderes requisitórios, em caso de demanda de titular de dados?”
São análises que as organizações devem fazer a todo instante, em especial para quem ainda não iniciou a implantação da LGPD na sua empresa, considerando tanto o aspecto jurídico quanto de tecnologia.
“O caminho de estar em conformidade com a LGPD requer trabalho e ajustes contínuos. Avaliamos assim, pela nossa experiência desde o início dos trabalhos ocorridos em janeiro de 2020. É um projeto que tem início, meio e não tem fim, precisará de acompanhamento constante.”
A gestora também reforça o impacto imediato nas relações decorrentes do código do consumidor (com possível atuação do PROCON) e o titular e recomenda preparação do orçamento (budget) para a adequação à LGPD, e afirma: “nossa experiência mostrou que é necessário investimento”.
Por fim, destaca que as empresas que chegarem na conformidade perante à LGPD terão um diferencial competitivo, com boas práticas de transparência no uso de dados pessoais de todos os usuários do seu sistema de interação. Com isso, acredita que, como empresa, estarão contribuindo para uma sociedade que respeita a privacidade de dados das pessoas.
Saiba Mais:
Data Mapping. Relatório de levantamento e impacto de dados. É uma das partes mais importante da implementação, pois será usado para priorizar as ações de adequação à LGPD.
Data Discovery. Possibilita a consulta a todos os dados disponíveis, de todos os tipos, externos ou internos a uma organização.
Gap Analysis LGPD. Entendimento de situação atual dos processos de privacidade frente a LGPD/ISO 27701.
GDPR. O Regulamento Geral sobre a Proteção de Dados 2016/679 é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, criado em 2018.
Roadmap. O roadmap é o mapa do projeto. Uma formatação que serve de orientação para o desenvolvimeto do projeto.
Sponsor. pessoa que irá garantir os recursos para que o projeto seja executado. Um sponsor possui conhecimentos e influência suficientes para advogar em favor dos propósitos do projeto e envolve pessoas e áreas estratégicas para sua execução. Por exemplo. Representante de Áreas como o Jurídico, TI, RH ou Compliance que liderem as discussões na empresa e fiquem responsáveis pela implantação/adequação das políticas de conformidade.
Kick-off do projeto. Na fase de diagnóstico de Privacidade – Lei Geral de Proteção de Dados, a empresa escolheu o CEO para o lançamento do planejamento das ações.
Créditos: Artesania Comunicação Jurídica
Tags: