A Empresa
Multinacional do setor de alcoolquímica, borrachas e plásticos, com quase 50 anos no mercado brasileiro. Atua com 18 unidades fabris distribuídas em 5 países.
Objetivos do Projeto
Garantir mais segurança, privacidade e transparência no uso de informações pessoais na empresa e estar em conformidade com a nova lei 13.709 (Lei Geral de Proteção de Dados).
Principais Desafios
- Baixo conhecimento sobre o tema por parte das equipes e de seus impactos para o negócio;
- Organização com pouca maturidade em processos e tecnologias;
- Baixa cultura em privacidade de dados;
- Necessidade de maior investimento em segurança da informação e infraestrutura;
- Adequação a LGPD inicialmente pela exigência da lei e não pelo entendimento que os controles são cruciais para a Governança Corporativa e para a continuidade do negócio.
Assessment - O ponto inicial
O assessment, composto por entrevistas com os diversos usuários de dados para mapeamento dos processos e do trânsito das informações dos dados pessoais e sensíveis (data mapping), diagnóstico e elaboração do plano de ação com as atividades, responsáveis, prazos e contingências, foi finalizado em 8 semanas.
O principal resultado mostrou que a empresa possuía um risco baixo/médio em termos de proteção e privacidade de dados pessoais, especialmente devido ao seu modelo de negócio, que foca em sua totalidade em uma relação “Business to Business”, portanto com um relacionamento quase inexistente com clientes pessoas físicas. Porém, existia uma preocupação com o ambiente interno, com os dados de funcionários e principalmente em relação à segurança da informação e tecnologias que suportavam o ambiente.
Políticas, controles e processos implementados relacionados à segurança da informação eram praticamente inexistentes.
Entregáveis na fase do Assessment
- Assessment personalizado, ou seja, baseado não apenas na LGPD, mas sim, observando vários itens do negócio que poderiam ser ajustados. Análise ampla, gerando recomendações em outras áreas;
- Data Mapping com o tratamento e ciclo de vida dos dados pessoais;
- Plano de ação com recomendações de implementação – 43 atividades para efetivação da adequação;
- Diagrama de contexto da empresa – visão global dos processos e interdependências.
Processo de Adequação
O processo de adequação visa implementar as ações estabelecidas no plano gerado pelo assessment. Nele, não só a empresa atua ou tem atribuições, mas a consultoria também.
As 43 atividades descritas no plano referiam-se a:
- elaboração ou revisão de políticas;
- ajustes em processos;
- elaboração de manuais e treinamento sobre os processos, políticas e procedimentos que estavam sendo implementados e deveriam fazer parte da rotina diária dos usuários.
Este processo de adequação durou cerca de 6 meses. De fato, em termos de procedimentos e atividades não seria necessário todo este tempo, mas em termos de mudança e sedimentação da nova cultura dentro da empresa foi o melhor caminho a seguir.
Foi uma implementação paulatina, garantindo o engajamento, entendimento das dúvidas, dificuldades das pessoas, um tempo para digerir a mudança e os novos processos.
A adequação é um processo contínuo de observação e adequações à lei com ajustes permanentes.
Palavra de Consultor
A empresa com um ambiente e cultura mais reservado, possuía pouco conhecimento em privacidade de dados, processos e tecnologia, mas estavam bem focados em atender à legislação e estar em conformidade com a LGPD.
A expectativa com o projeto, além de atender aos requisitos da lei, era que iniciássemos o processo de criação de cultura e amadurecimento de privacidade na empresa.
Também esperam desenvolver um modelo de negócio mais focado em processos, talvez o projeto da LGPD possa ser o início de uma transformação um pouco mais ampla no ambiente e cultura da empresa, propiciando crescimento em produtividade, qualificação das pessoas e atualização em termos das melhores práticas dos negócios vigente.