Requisitos Sistêmicos para Adequação à LGPD — Prefácio
Ao longo da prática, acompanhamento e gestão do projeto de conformidade com a Lei Geral de Proteção de Dados chegamos a um ponto de grande dificuldade, localizado em um “limbo” entre as duas principais fases desse grande projeto.
Entre a 1ª fase — “Levantamento/Definição de Planos de Ação” (onde conduzimos o assessment para conhecer todos os fluxos de dados pessoais e sensíveis da empresa e, com base no que foi levantado, identificamos nossos GAPs e definimos quais serão os planos de ação para corrigi-los) e a fase de “Implementação das soluções” (em que implementamos os projetos que atendem aos planos de ação definidos na 1ª fase), temos uma fase de importância ímpar: a fase de “Desenho dos Projetos”.
No “Desenho de projetos” precisamos traduzir os planos de ação, definidos na 1ª fase, em um portfólio de projetos factíveis de serem implementados, dentro do prazo curto que temos, com um escopo que nos garanta um nível de conformidade adequado, em linha com o apetite ao risco da empresa e dentro de um custo que seja condizente com as possibilidades de investimento atuais.
Durante essa fase sentimos muito a falta de um guia que descrevesse os requisitos necessários para iniciarmos o levantamento de esforços para adequar nossos sistemas e interfaces.
O foco dessa série de artigos que pretendo publicar aqui no Medium é dividir com todos um modelo para auxiliar nessa fase, visando compartilhar as lições aprendidas, tendo como premissa que não existe “bala de prata” para conformidade com a LGPD e que o sucesso de um projeto de conformidade deve estar balizado por muito estudo das práticas e técnicas de gestão e condução desse tema, considerando as particularidades de cada empresa.
A proposta dos artigos será a exposição, explicação e exemplificação dos requisitos sistêmicos para conformidade com a LGPD, considerando a divisão dos sistemas da empresa em 4 diferentes categorias:
- Interfaces Digitais: Os sites, portais e front-ends com acesso direto de clientes ou qualquer outro titular de dados pessoais. Aqui se encaixam os portais corporativos, APPs, os Portais para cadastro de parceiros e fornecedores, dentre outros;
- Sistemas de relacionamento com clientes: Sistemas de venda e pós-venda manipulados por colaboradores que intermedeiam a relação entre a empresa e o cliente/titular de dados. Nessa categoria incluímos os sistemas de CRM, os sistemas utilizados pelas Centrais de Relacionamento, sejam ativas ou receptivas, além de qualquer outro sistema que se encaixe neste modelo;
- Sistemas de Negócio: Os sistemas de negócio são os sistemas de BackEnd da empresa que fazem o suporte direto a operação dos produtos. Se encaixam aqui os sistemas de negócio utilizados pelos back-offices da empresa.
- Sistemas de BI: São sistemas que, a partir da leitura de informações nas diferentes bases de dados que possuímos, realizam análises preditivas, geram relatórios comerciais e de performance, correlaciona informações para ações de marketing e rentabilização de clientes ou sistema que faça qualquer outra análise que gere dados inferidos a partir dos dados fornecidos pelo titular ou captados pela pela empresa durante o relacionamento com o cliente. Neste contexto no ambiente informacional da empresa estão os Sistemas de Apoio à Decisão (SAD) das diferentes unidades, o Data Warehouses corporativos, os ambiente de Big Data e eventuais réplicas das bases dos sistemas de Back-End e qualquer outras ferramentas para compor um report como sistemas de self-BI conectados como o Tableau, Power BI, etc, além do uso de planilhas e outras ferramentas que se encaixem neste modelo;
Os sistemas da empresa podem assumir uma ou mais das funções descritas acima. Nestes casos, os requisitos definidos devem ser considerados para as diferentes categorias aplicáveis para o sistema/interface.
Ao longo dos próximos dias detalharei os requisitos de LGPD para cada uma dessas categorias, sempre com base nas boas práticas aplicadas na União Europeia, modelos de órgãos reguladores mais maduros como o ICO. do Reino Unido e o CNIL da França, além de benchmarks com sites e outros materiais que acessamos para construir nosso entendimento.
Esses artigos não pretendem englobar todos os tipos de sistemas que uma empresa possui e não tem a intenção de detalhar tecnicamente como implementar os requisitos que serão apresentados. A ideia principal é realmente ser um guia de como devemos começar nossas discussões com as equipes de tecnologia, com o objetivo de construir os projetos de adequação de sistemas.
Espero que gostem e que seja útil! Não deixem de comentar!
