LGPD: implementação e desafios são discutidos em evento da CT de Controladoria

A importância – e os desafios – das empresas se adaptarem à Lei Geral de Proteção de Dados (LGPD) – nº 13.709/2018, que entra em vigor em agosto de 2020, foi o tema discutido durante o Café da Manhã da Comissão Técnica de Controladoria e Contabilidade do IBEF-SP, realizado nesta quinta-feira (30), na sede do Instituto. O encontro contou com a participação de Marcelo Pires, secretário geral do IBEF-SP, que apresentou a nova estrutura da Comissão Técnica, atualmente liderada por Alexandre Staffa, diretor administrativo financeiro da Suhai Seguradora. O painel teve o patrocínio da SAP Concur, companhia de tecnologia que também auxilia na implantação das normas da LGPD nas empresas.

A proposta foi discutir o panorama ainda complexo que a LGPD está trazendo aos ambientes corporativos. Denise Tavares, advogada do escritório Loeser, Blanchet e Hadad Advogados, apresentou o contexto atual da Lei, que abrange todas as organizações que utilizam dados pessoais, incluindo pequenas empresas. Como o prazo para implantação das normas exigidas foi estendido, há maior oportunidade de adaptação às regras. “O não cumprimento implicará em multa de até R$ 50 milhões por infração e também prejudica a imagem e reputação da companhia. Mas há medidas atenuantes trazidas pela Lei com a adoção de mecanismos e procedimentos internos como treinamentos, normas e políticas”, explicou Denise.

Ela relatou os principais conceitos da nova lei, que engloba o tratamento de dados pessoais simples e sensíveis. A LGPD estabelece também quem são os agentes de tratamento, sendo que o órgão responsável pelo cumprimento dessa norma será uma autoridade nacional, que vai aplicar sanções e trazer regras complementares. “Há também a figura do controlador, que é responsável pelo dado pessoal, ou seja, quem decide pelo tratamento das informações, e o operador, que é responsável pelo tratamento em nome do controlador”.

A LGPD traz 10 princípios para tratamento dos dados pessoais e estabelece direitos ao titular das informações. “Por exemplo, a empresa terá até 15 dias para fornecer as informações que detém de um titular caso ele as solicite. Outros direitos são pedidos para correção de dados, revogação de consentimento, portabilidade, eliminação, bloqueio ou anonimização de dados, ou saber com quem a organização os compartilha”, disse a advogada. A dica é que a companhia tenha sempre em mãos quais dados ela detém, para que fim ela os utiliza, e assim passar a informação ao titular de maneira rápida. A norma também estabelece regras para transferência internacional e eliminação de dados. “A maioria das empresas não tem política de descarte; por isso é importante manter registro documentado das operações de tratamento”.

Implementação – Maressa Juricic, privacy & cybersecurity senior manager na PwC Brasil, tem atuado para ajustar seus clientes a colocar em prática as exigências da LGPD. Durante o evento, ela destacou que já se vê na Europa – onde essa lei foi implementada em 25 de maio de 2018 -, muitos casos de sanções ligadas a infrações à GDPR (lei similar a LGPD). “Para implementar a LGPD, a empresa deve manter um programa de compliance multidisciplinar, envolvendo, por exemplo, a área Jurídica, TI, Segurança da Informação, Comunicação dentre outras; ou seja, é preciso criar um time multidisciplinar para endereçar esse tema”, disse Maressa.

Os maiores desafios das empresas têm sido: identificar as bases legais mais apropriadas, garantir que está compartilhando apenas os dados necessários, implementar controles para proteger os dados nos sistemas e repositórios de dados pessoais , anonimizar os dados e operacionalizar, junto à TI, o atendimento dos pedidos dos titulares (ex. revogação de consentimentos, eliminação de dados e portabilidades). “Esses desafios vão além dos aspectos jurídicos e exigem grandes iniciativas relacionadas à segurança da informação e governança de dados. Por isso, é importante iniciar a jornada fazendo o mapa de dados para que a empresa tenha visibilidade dos riscos associados às operações de tratamento”.

Tecnologia – Fernanda Vicente, consultora da SAP Concur, explicou que a tecnologia é fundamental para se ter o mapeamento das informações que as empresas utilizam. “Às vezes, a companhia não sabe onde está o dado e precisa entender se os sistemas utilizados internamente estão de acordo com a Lei e com o consentimento do titular, ou se o uso das informações está com a finalidade bem clara”. Ela ressaltou que a tecnologia também pode ajudar as organizações a manterem o controle em relação às normas de segurança.

Cases – Mediando o painel, Alexandre Staffa convidou Natasha Anderáos, gerente de Riscos e Controles Internos na Rede Ímpar, que congrega seis reconhecidos hospitais no Brasil; e Gustavo C. Godinho, legal manager na Whirlpool Latin America, fabricante mundial de electrodomésticos, para contar como tem sido o processo de adaptação à LGPD dentro de suas organizações. “Em hospitais, temos várias origens da coleta de dados. É preciso ter o mapeamento da fonte de captação dessas informações e um cuidado grande de entender a operação e buscar o apoio do jurídico para poder tratar isso da forma mais segura, dando transparência ao paciente”, disse Natasha.

O setor da saúde já conta com um código de ética e lei de confidencialidade sobre os dados de pacientes, mas o trabalho atual da Rede Ímpar está também no aculturamento de gestores dos hospitais para conhecer a LGPD. Natasha explica que a companhia iniciou o projeto com o mapeamento do fluxo de dados e implementação de normas e processos no ano passado. Os riscos identificados são levados para um grupo multidisciplinar para discussão e saber como lidar com eles. “É uma jornada, não temos uma data de finalização, e entendemos que é um programa de compliance, que envolve gestão, monitoramento e comunicação com colaboradores periodicamente.”

Godinho ressaltou que, por ser uma empresa global, a Whirlpool já faz esse trabalho na Europa e agora, no Brasil, seguiu o processo com mapeamento, avaliação abrangente, e está na fase de mitigar riscos, revisar políticas e começar a pensar em treinamentos e capacitações. “Agora que temos mais tempo para nos adaptarmos à LGPD, vamos trabalhar melhor, com o apoio contínuo da diretoria, conscientizando e garantindo o efetivo envolvimento das áreas”.

De modo geral, todos os painelistas ressaltaram que treinar pessoal, manter equipes integradas e documentar os processos relacionados a tratamento de dados são fatores primordiais para mitigar riscos e minimizar impactos em casos de possível vazamento de dados. “O tema é complexo, mais relacionado a processos do que ao entendimento da Lei. Muita coisa ainda precisa ser olhada dentro das organizações”, completou Alexandre Staffa.

Prêmio Revelação em Finanças – Ao final do painel, Staffa destacou que a 16ª edição do Prêmio Revelação em Finanças IBEF-SP está com inscrições abertas, sempre colocando em evidência trabalhos inovadores em finanças e reconhecendo o valor de jovens talentos dos ambientes corporativos e acadêmicos. “O prêmio é uma oportunidade de apresentar projetos em finanças que podem transformar negócios, com premiação em dinheiro, bolsa de estudo, entre outros benefícios. É uma oportunidade de reconhecimento de um trabalho que muitas vezes acontece no dia a dia dos negócios e pode expor profissionais dentro de um grupo seleto como o IBEF-SP”, ressaltou.

(Reportagem: Bruna Chieco)

 

Leave a comment