Home >

GDPR, um ano depois – desafios e aprendizados

Especialista analisa alguns insights sobre a adaptação à GDPR que podem ser levados em conta para facilitar a implementação da LGPD

José Ricardo Moraes*

05/06/2019 às 9h15

Foto: Shutterstock

O Regulamento Geral de Proteção de Dados (GDPR) está em vigor desde 25 de maio de 2018. Os relatórios de violações massivas de dados e a manipulação inadequada de dados pessoais por grandes plataformas online lembram-nos o quanto é importante preservar a privacidade, proteger o funcionamento das democracias e assegurar a sustentabilidade dos dados que impulsionam a economia.

Por ocasião do primeiro aniversário da GDPR, apresento alguns dados que podem servir como referência para a o Brasil quando a Lei Geral de Proteção de Dados (LGPD) entrar em vigor, em agosto de 2020. Como referência foram utilizadas informações retiradas do ‘Special Eurobarometer 487a (março de 2019), ‘Website da The European Data Protection Board’, ‘Website da International Association of Privacy Professionals’ (IAPP) e do Relatório “A Era da Privacidade: o custo do cumprimento contínuo - Benchmarking do Impacto Operacional Contínuo do GDPR e do CCPA” (maio de 2019).

O estudo “A Era da Privacidade: o custo do cumprimento contínuo - Benchmarking do Impacto Operacional Contínuo do GDPR e do CCPA” pesquisou 301 profissionais envolvidos no processo de tomada de decisão no que se refere à regulamentação de privacidade. Todos os entrevistados trabalham em empresas com mais de 50 funcionários e são afetados por GDPR, CCPA ou ambos. Eles foram ouvidos em abril de 2019.

Para a maioria das empresas, demorou pelo menos seis meses para atingir a conformidade com o GDPR. Com um ano em perspectiva, a única coisa que os profissionais de privacidade desejariam ter feito diferente seria começar a planejar e implementar mais cedo.

Os profissionais de privacidade compartilham que a conformidade com o GDPR era complexa para entender e difícil de gerenciar, consumindo milhares de horas e introduzindo riscos de tarefas manuais e consequentes erros. Pior ainda, eles concordam que o trabalho que fizeram para se preparar para a conformidade não é escalável para suportar novas regulamentações de privacidade.

O custo da conformidade é mais que financeiro, ele é operacional demandando investimentos contínuos. Para alcançar a conformidade as empresas destacaram muitos funcionários em dezenas de reuniões, consumindo centenas de horas de trabalho, sendo que, em algumas empresas, gastaram-se mais de nove mil horas em reuniões de preparação. Até os decisores seniores passaram semanas, não apenas na preparação, mas também para manter a conformidade. Infelizmente, a preparação é apenas um ponto inicial.

Manter a conformidade exige que as empresas dediquem milhares de horas adicionais de seus colaboradores trabalhando em processos manuais com alta propensão a erros. Os profissionais de privacidade são desafiados a gerenciar com eficácia os fluxos de trabalho em vários sistemas e serviços, e lutar para integrar soluções de vários sistemas e serviços diferentes. Num esforço para minimizar os riscos, a maioria dos profissionais de privacidade reconhece a importância de reduzir os erros humanos relacionados a solicitações de relatórios de privacidade, mas a maioria das empresas conta com muitas pessoas para concluir o acesso ou a exclusão ao DSR (‘Data Subject Request*’).

Agora, com a aproximação do prazo de validade da Lei de Privacidade do Consumidor da Califórnia (CCPA) e com uma onda mundial de iminentes regulamentações de privacidade, incluindo a Lei Geral de Proteção de Dados do Brasil, alguns profissionais de privacidade estão indo além dos fluxos de trabalho manuais e procurando maneiras de operacionalizar a gestão da privacidade para manter a conformidade a longo prazo.

A maioria das empresas adotou tecnologias, mas uma parcela menor percebeu os benefícios de automação utilizando alguns profissionais de privacidade para automatizar o inventário de dados. Quase a metade ainda depende muito de questionários ou pesquisas de fluxos de trabalho baseados em e-mail.

A conformidade imprime uma carga operacional enorme em toda a organização, mas a tecnologia pode ajudar a minimizá-la. Os pioneiros (‘early adopters’) estão usando a tecnologia para integrar sistemas de negócios, reduzir erros humanos e suportar novas regulamentações. As empresas que são capazes de automatizar os processos manuais vinculados à conformidade de privacidade, como mapeamento de dados e processamento de DSRs, maximizam sua eficiência e eficácia para minimizar seus riscos e o custo da conformidade contínua.

Destaques

• 70% dos entrevistados concordam que os sistemas implementados não serão corretamente dimensionados à medida que surgem novos regulamentos;

• 9 de 10 empresas planejam contratar pelo menos 3 pessoas para gerenciar as regulamentações de privacidade nos próximos dois anos;

• 9 entre 10 profissionais de privacidade concordam que um inventário de dados é essencial para se alcançar a conformidade com os regulamentos de privacidade existentes e futuros;

• Apenas 51% das empresas obtiveram conformidade com o GDPR até 25 de maio de 2018; a maioria levou mais de seis meses para se preparar;

• É provável que uma organização média tenha gasto de 2.000 a 4.000 horas em reuniões na preparação - isso é mais do que um ano inteiro de trabalho;

• 67% das empresas tinham pelo menos 25 funcionários envolvidos na preparação do GDPR; 44% das empresas tinham pelo menos 50;

• 58% das empresas estão recebendo mais de 11 Solicitações por DSRs por mês, 28% estão recebendo mais de 100 DSRs por mês;

• As empresas estão preocupadas com o erro humano quando se trata de processar solicitações de privacidade, pois 84% delas têm um processo para evitar erros manuais de DSR;

• As taxas de adoção de tecnologia são menores para o CCPA do que para o GDPR. As empresas dependem principalmente de treinamento de funcionários (61%) e criação de novas políticas e processos (53%) para se preparar para o CCPA.

Até o final de 2018, a maioria das empresas norte-americanas (82%) se autodeclarou em conformidade com o GDPR, enquanto o restante planeja se tornar compatível até o final de 2019. A má notícia é que demorou mais para atingir a conformidade do que o esperado - a maioria das empresas (53%) passou mais de seis meses se preparando.

Um ano depois...

O cumprimento de novas regulamentações nunca é fácil e o tempo raramente está ao seu lado. Os profissionais de privacidade foram desafiados pela complexidade do GDPR e pela falta de um caminho claro para a conformidade.
Os profissionais de privacidade tiveram dificuldade em gerenciar fluxos de trabalho em sistemas e serviços e lutaram para integrar soluções diferentes.

Infelizmente, 70% dos entrevistados concordam que, apesar de seu tempo e esforço investidos, os sistemas implementados não serão dimensionados para suportar novos requisitos à medida que surgem regulamentações adicionais. Em outras palavras, os processos e soluções implementados terão problemas para suportar a complexidade de novas regulamentações e eventuais mudanças devido a diferentes requisitos nos sistemas de dados envolvidos.

A pesquisa apresenta cinco principais desafios para a conformidade com o GDPR:

• Os Regulamentos Gerais de Proteção de Dados são complexos / vagos (56%)

• Regulamentos não têm um caminho claro para alcançar a conformidade (45%)

• Não foi possível gerenciar com eficácia os fluxos de trabalho em vários sistemas e integrar soluções e serviços (39%)

• Não há tempo suficiente para planejar e executar o programa de conformidade (32%)

• Não há recursos humanos suficientes para gerenciar e executar o programa (31%)

Mais frequentemente, os profissionais de privacidade informaram que, se pudessem fazer algo diferente, teriam:

• Iniciado o planejamento e a implementação mais cedo

• Construído um inventário de dados

• Comprado uma solução comercial em vez de construir seus próprios sistemas

• Procurado uma solução de tecnologia

• Contratado mais pessoas

As empresas que não tinham tempo suficiente para se preparar priorizaram a tecnologia, enquanto as equipes menores priorizaram a contratação de mais consultores para ajudar na preparação.

As empresas maiores e mais preparadas priorizaram os inventários de dados, sendo que 90% dos profissionais de privacidade concordam que um inventário de dados é fundamental para ficar em conformidade com as regulamentações de privacidade existentes e futuras.

A era da privacidade está aqui

O GDPR serviu como um modelo para a LGPD e um catalisador para a mudança socioeconômica. A esmagadora maioria (79%) das companhias está gastando pelo menos US $ 100.000 em conformidade. Ainda assim, parece que as empresas estão tratando caso a caso em vez de criar uma solução para apoiar as regulamentações existentes e futuras: 70% dos entrevistados concordaram que os sistemas implementados não serão adequadamente dimensionados à medida que novas regulamentações surgirem.

As empresas estão tentando resolver a questão com dinheiro e mão de obra, contando com dezenas de funcionários para gerenciar a conformidade e assuntos relacionados. Reconhecendo que as regulamentações de privacidade não desaparecerão, 90% dos profissionais de privacidade planejam contratar três funcionários nos próximos dois anos para lidar com os regulamentos futuros.

O verdadeiro custo, portanto, não pode ser calculado apenas pelo preço das soluções e serviços. Inclui o custo e os riscos associados à atribuição de dezenas ou centenas de funcionários a milhares de horas de gerenciamento de conformidade manual e o custo de oportunidade quando esses funcionários são tomadores de decisão seniores. A menos que as empresas adotem uma abordagem diferente para operacionalizar a gestão dos regulamentos, haverá um custo contínuo, crescente e complexo.

A chave é investir em soluções que automatizem processos manuais e integrem sistemas de negócios e serviços de terceiros. Podemos aprender com os primeiros usuários - um terço (32%) das empresas atualizam automaticamente seu inventário de dados e mais da metade (58%) adquiriram soluções comerciais ao invés de desenvolver essas ferramentas internamente.

Para alcançar e manter a conformidade, uma empresa precisa:

• Entender as complexidades e requisitos exclusivos de cada regulamento em particular;

• Identificar continuamente os sistemas, existentes e novos, que contêm dados regulamentados;

• Implementar práticas para atualizar esses sistemas quando novas informações forem adicionadas;

• Operar as solicitações de privacidade de dados, minimizando os riscos de processamento manual;

• Adaptar-se facilmente às alterações ou alterações regulamentares que afetam qualquer um dos itens acima.

Acima de tudo, precisam buscar soluções que apoiarão novas regulamentações de privacidade à medida que elas surgirem e as complexidades associadas de lidar com várias regulamentações diferentes. A integração com sistemas de negócios e automação são vantagens operacionais que podem minimizar o risco e o custo da conformidade contínua do GDPR, LGPD, CCPA e outros.

*José Ricardo Moraes é Business Development executive da Neotel

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail