Empresas devem mapear fluxo de dados para se adequar à LGPD

No segundo dia do Fórum de Debates CNT, palestrantes discutiram os desafios da governança de dados no setor de transporte

A CNT (Confederação Nacional do Transporte) promoveu, nesta quinta-feira (22), o segundo dia do Fórum de Debates CNT “LGPD no Setor de Transporte – Novas Rotinas para Adequação à Lei”. Com participação de especialistas em proteção de dados e representantes do setor transportador, o seminário virtual abordou aspectos práticos a serem enfrentados pelas empresas, que precisam se adequar à Lei Geral de Proteção de Dados, já em vigor. O encontro foi transmitido pelo canal da Confederação no YouTube.

Os painelistas abordaram o desafio de mudar a cultura das empresas sem ter ainda clareza sobre a aplicação da lei. Isso ocorre porque o mandato da ANPD (Autoridade Nacional de Proteção de Dados) ainda não se iniciou efetivamente. É competência da ANPD regular a matéria, fiscalizar o cumprimento da legislação e dar a última palavra em caso de conflitos. “Estamos vivendo um ambiente de insegurança jurídica. Como definir riscos se não temos todas as cartas do jogo na mesa? Há de se considerar a litigiosidade neste país”, alertou o advogado Fabrício da Mota Alves, especialista em direito digital.

Ainda que as sanções administrativas tenham sido adiadas para agosto de 2021, a LGPD já está em vigor desde o mês passado. Adequar-se é um imperativo. “Uma empresa de transporte que tem 150 mil nomes em seu mailing tem de preservar dados a sete chaves, porque um vazamento provocaria um desarranjo muito grande”, ressaltou Urubatan Helou, diretor-presidente da Braspress. Em sua fala, o CEO relatou como a transportadora fez uma revisão completa de seus bancos de dados e contratou consultorias externas – a começar por uma banca de advogados especializados.

Robson da Costa, co-fundador e gerente de TI da Azul Linhas Aéreas, explicou os passos que antecederam o modelo de governança de dados que está sendo formulado pela empresa, desde a criação de um grupo focal de trabalho até a tarefa de disseminar o conhecimento via Plano de Comunicação. “É preciso entender para que cada dado é usado dentro da organização. Uma vez criadas regras, monitora-se o ambiente. Há gatilhos para uma tomada de ação. É um programa contínuo”, detalhou.

Vanessa Lima Nascimento trouxe um pouco de sua experiência como head de Compliance Digital de um escritório e advogada do Consórcio Ótimo de Bilhetagem, em Belo Horizonte (MG). “Sem a regulamentação a ser dada pela ANPD, as empresas precisam mitigar riscos e a primeira coisa a ser feita é o mapeamento do fluxo de dados”, salientou. “Esse é o chamado data mapping. A partir daí, verifica-se o nível de aderência à LGPD. Identificadas as lacunas (gap analysis), é hora de elaborar a matriz de risco. Com isso, consegue-se traçar um cronograma objetivo, um plano de conformidade”, ensinou.

O advogado Flávio Henrique Unes Pereira, presidente da Comissão Especial de Proteção de Dados da OAB-Federal, pediu ao público para imaginar uma situação fictícia envolvendo uma empresa de cargas que terceiriza suas entregas para um transportador autônomo. “No caso em tela, o que são dados pessoais? Quais são as bases legais?”, indagou. “À primeira vista, os princípios legais trazidos pela LGDP podem parecer vazios, mas são ferramentas que nos auxiliam na interpretação da lei inteira”, instigou.

O especialista trouxe esses elementos para abordar o problema da responsabilidade objetiva (que dispensa dolo e culpa) das empresas de transporte em incidentes que envolvam dados pessoais. “Mas nós não podemos exigir das empresas o que não é exigível. Com isso, quero dizer: não existe tecnologia que impeça 100% a invasão de um hacker. Daí a importância de se ter um programa de compliance. A empresa que o tiver implementado poderá se eximir (da responsabilidade) em casos assim”, explicou.

Após traçar um histórico da proteção de dados, o professor Ricardo Resende Campos, da Goethe Universität Frankfurt am Main (Alemanha), elencou os pontos cruciais que toda empresa deve levar em conta para se adequar à LGPD. Na visão dele, além do mapeamento das atividades de tratamento de dados, da gap analysis e da estruturação da governança em privacidade, é fundamental efetuar uma revisão contratual (o que inclui avisos com a política de privacidade). “Outro ponto é o atendimento aos titulares dos dados, o que depende do tamanho da empresa, mas pode ser estruturado como uma ala de atendimento ao consumidor”, esclareceu. “E, por último, a questão do treinamento, que passa pela conscientização dos funcionários – não apenas em nível gerencial, mas entre aqueles que têm contato direto com o cliente”, enfatizou.

Fonte: Agência CNT de Notícias