Como a Lei Geral de Proteção de Dados pode impactar sua iniciativa de LSS e Transformação Digital

A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP ou Lei nº 13.709/2018) é aquela que que regula as atividades de tratamento de dados e que também altera parte do Marco Civil da Internet. A partir da sua publicação, o Brasil passou a adotar um sistema baseado no modelo da União Europeia que, em função da urgência, ainda terá seus impactos avaliados.

A urgência se deu principalmente em função do vazamento de dados dos usuários do Facebook coletados pela empresa Cambrigde Analytica e usados nas últimas eleições nos Estados Unidos.

A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos liberdade e dignidade das pessoas.

Seu texto determina que todos os dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário. Para realizar o tratamento de dados pessoais sem o consentimento do titular, a lei prevê uma série de hipóteses e condições.

De início, é imprescindível enfatizar que a proteção aos dados pessoais não se limita ao mundo digital, aplicando-se a qualquer pessoa física ou jurídica que realize o tratamento, sob qualquer meio, desde que a operação de tratamento seja realizada no território nacional; tenha por objeto a oferta ou fornecimento de bens ou serviços, ou o tratamento de dados de indivíduos localizados no Brasil; ou os dados tenham sido coletados no território nacional.

A lei impacta profundamente a gestão dos dados pessoais pelas empresas de todos os setores em função do fluxo grande e contínuo de dados, inclusive pessoais. Portanto, há muitos aspectos a serem atentamente observados em função dessa lei. Mas afinal, o que ela define?

Definições estabelecidas pela LGPD

Um dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Um dado pessoal sensível é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

A lei estabelece como esses dados devem ser tratados, controlados, armazenados dispostos e processados e mantidos anônimos. A partir da lei, cada pessoa tem o direito à confirmação da existência de tratamento de seus dados, acesso aos mesmos bem como correção de informações incompletas, inexatas ou desatualizadas. Além disso, possibilita a anonimização, bloqueio ou eliminação de dados tratados bem como sua portabilidade dos a outro fornecedor de serviço ou produto. Eventual eliminação dos dados pessoais tratados, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa e revogação do consentimento do uso e tratamento das informações.

A maior mudança, sem dúvida, diz respeito ao controle dos cidadãos em razão da garantia de acesso às informações sobre os seus dados. Sem se falar na necessidade de autorização expressa de sua parte para que a coleta de dados ocorra.

Impactos Gerais

O tempo é relativamente curto para a adaptação à nova legislação, mas o trabalho deve ser feito o quanto antes, pois a LGPD considera irregular o tratamento de dados que deixa de observar a legislação ou quando não houver segurança razoável ao tratamento e as sanções administrativas aplicáveis vão desde simples advertência, até a obrigatoriedade de eliminação dos dados pessoais e multa de 2% (dois por cento) do faturamento no último exercício.

As empresas deverão garantir a transparência e o direito de acesso a essas informações. Tudo de forma clara, inteligível e simples. A nova lei atingirá toda e qualquer atividade que envolva utilização de dados pessoais, incluindo o tratamento pela internet, consumidores, empregados, entre outros.

Impactos em Tecnologia da Informação

Será necessário um alto nível de adequação dos sistemas, perfis de acesso , formas de armazenamento, filtro e disposição dessas informações. Assim, não é difícil prever que haverá uma sobrecarga de trabalho junto às áreas de Tecnologia e Segurança da Informação impactando em outros desenvolvimentos e na fila de demandas.

Impactos em Projetos

Projetos dependem, antes de mais nada, de dados. Dessa forma, relatórios que antes eram trafegados sem tanto rigor e cuidado deverão ser tratados ou criptografados de tal forma a permitir sua análise. Se já existiam dificuldades para busca de alguns relatórios no sistema, talvez alguns deles se tornem inacessíveis ou terão que passar por uma cadeia de de aprovação que irá impactar no tempo dos projetos.

Além disso, os dados que contém informação pessoal a partir e para empresas terceiras poderão ser restritos pois muitas vezes as pesquisas são realizadas por institutos contratados e a as análises para melhoria são realizadas por consultorias especializadas. Será necessário todo um processo de homologação desses parceiros para dispor dessas informações sensíveis a eles.

Impactos na Transformação Digital

É possível que as iniciativas de Transformação Digital ou sejam desaceleradas em função do foco das áreas de tecnologia da informação para adequação à lei ou veremos uma descentralização da automatização de processos ficando mais próxima das áreas de negócio através de tecnologias como RPA para garantir que o processo de digitalização não fique estacionado e dependa prioritariamente dessas áreas que estarão sobrecarregadas.

Caminhos

As empresas deverão pensar não só como atender a lei mas também como todas as áreas que usam (ou potencialmente usam) esses dados para tomada de decisão poderão ser impactadas. Os times de projeto e as áreas responsáveis por análise de dados e geração de relatórios deverão avaliar suas capacidades e passar por importantes ciclos de melhoria para que as informações não deixem de ser dispostas de forma inteligente e ágil porém considerando as novas disposições.

Os temas de projetos deverão ser selecionados e priorizados considerando essa lógica de disponibilidade e acesso às informações e os cronogramas

É provável, dada a complexidade e considerando o cenário econômico do Brasil, que o período para adequação seja extendido. De qualquer forma é extremamente relevante que gestores de projetos, excelência operacional e transformação digital se alinhem com as áreas que estão encabeçando essa mudança para que todos os fatores sejam considerados.