Como Implementamos
O primeiro ponto interessante a ser observado é que a LGDP “pegou de surpresa” as pessoas que não acompanhavam a discussão sobre proteção de dados, e, de fato, a sua aprovação foi bastante rápida, considerando que o projeto de lei estava parado no Congresso Nacional a bastante tempo.
De qualquer forma, a principal reação de gestores das empresas, tanto dos departamentos jurídicos quanto de tecnologia da informação e compliance foi a de dúvida. O problema aqui reside no fato de que essa legislação impõe novas obrigações que exigem um alinhamento e sinergia entre áreas que possuem pouco contato e, normalmente, possuem dificuldades de comunicação entre si (advogados e programadores costumam não se entender, para dar um exemplo ilustrativo.
Dentro desse contexto de dúvida interna nas empresas, um de nossos clientes nos procurou com a demanda de proteção de dados, trata-se de grande empresa de terceirização de back-office para seguradoras, ou seja, ao entrar em contato com sua seguradora você está, na verdade, sendo atendido pelo nosso cliente.
Relevante destacar que, assim como outros contatos, o cliente entende que precisa realizar alterações em seus processos, mas tende a pensar que isso ou se resume à parte jurídica ou à parte tecnológica, quando é, na verdade, uma atividade complementar de ambas as áreas internas. Nesse sentido o primeiro ponto é esclarecer esse panorama ao cliente e organizar a comunicação necessária dentro da própria empresa (entre os departamentos relevantes).
A primeira dificuldade desse caso é o grande número de verticais de negócios cobertos (cerca de 90 verticais), o que inclui desde acompanhamento de desempenho escolar, reparo e conserto de eletrodomésticos até auxílio funeral (e cremação).
Acresce-se, a essa dificuldade, que o usuário contratou a seguradora e está, na verdade, fornecendo dados e informações pessoais e extremamente sensíveis, de forma que o nosso cliente era terceiro “alheio” à relação (ao menos do ponto de vista do usuário). A questão é, precisamente, que esse quadro vai em sentido completamente contrário às diretrizes básicas da LGPD e GDPR, que preveem a autorização e ciência do titular dos dados.
É possível sintetizar os obstáculos que foram superados nesse projeto em três pontos distintos:
O primeiro deles é mapear todo o fluxo de entrada e saída de informação em todos os verticais existentes (por exemplo, ao solicitar um reparo o nosso cliente tem acesso ao endereço do usuário e compartilha esse dado com prestador de serviços que irá ao local).
O segundo é informar o usuário e obter o consentimento para o uso de seus dados, pois é essencial que esses dados possam ser utilizados para operações de Business Intelligence (BI) sem expor o cliente (e a seguradora) a riscos jurídicos. Lembrando sempre que o tratamento de dados é essencial ao setor de seguros, sendo uma das principais áreas de investimento e desenvolvimento tecnológico.
O terceiro aspecto é como gerenciar um portfólio de prestadores de serviços e parceiros comerciais de milhares de empresas, garantindo que todos estão em compliance, além de ajustar todos os procedimentos internos em conjunto com a revisão das políticas internas de gestão da informação, segurança e tratamento de dados, o que passa pela revisão de contratos com colaboradores e toda sua cadeia fornecedores.
Para atender todas essas necessidades a atuação da Peduti não se resumiu aos aspectos jurídicos, sendo a avaliação da legislação e sua aplicabilidade ao cliente apenas a parte inicial do projeto, foi necessária a atuação multidisciplinar e envolver o departamento jurídico, TI, RH, Marketing e Comercial.
A primeira fase da atuação é por meio de um questionário (bastante profundo e longo) que procura mapear o estado inicial da empresa, nesse momento precisamos entender o cenário geral da empresa e como é sua organização interna, sem isso é impossível proceder ao adequado mapeamento de cada vertical de negócio e as fases seguintes.
Trata-se de um projeto encadeado, falhas na fase de avaliação impactarão, profundamente as políticas implementadas.
O resultado final é uma reestruturação completa da organização interna da empresa, que possui uma validação, passo a passo, de seus procedimentos, e meios de demonstrar a ANPD (Agência Nacional de Proteção de Dados) a tomada de ações necessárias para a proteção de dados de terceiros.
Em síntese, a empresa consegue atestar que está em compliance com a legislação de privacidade e proteção de dados evitando assim riscos jurídicos futuros.
Interessante, por fim, destacar que no âmbito jurídico (e de compliance) raramente a adoção de uma política implica em ganhos financeiros, porém, e isso é certo, impede prejuízos financeiros futuros e desgastes à sua imagem no mercado, que às vezes são até mais danosos que as próprias multas e sanções.
—
Advogado Autor: Luciano Del Monaco
“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”
