Consultoria em LGPD: entenda o que é e porque contratar

Quer saber os motivos e as vantagens em se contratar uma consultoria em LGPD? Você vai adorar saber sobre tudo isso neste post. Vamos lá!

Saiba para que serve a consultoria em LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para o tratamento de dados pessoais. Por meio dela, passamos a ter uma série de obrigações e deveres ao realizar a coleta, o processamento e o armazenamento de dados pessoais.

A LGPD serve, assim, não apenas para proteger e resguardar os direitos dos titulares de dados, como, também, para delimitar os parâmetros e os limites legais para a realização do tratamento dos dados pessoais.

Mas, afinal, para que serve a consultoria em LGPD?

A consultoria em LGPD tem como principal função a de apoiar a sua empresa na implementação dos requisitos e controles exigidos pela legislação. É ela que guiará, de maneira estruturada, as ações necessárias para a conformidade da sua organização com as obrigações legais, cabendo, ainda, a ela orientar, capacitar e treinar os colaboradores e demais partes interessadas. É a consultoria em LGPD, portanto, que servirá como norte na condução das atividades voltadas à implementação do programa de governança em privacidade.

Entenda o papel da consultoria em LGPD na implementação do programa de governança em privacidade

O programa de governança em privacidade é o verdadeiro guia da sua empresa, para demonstrar conformidade com a LGPD. É por meio dele que a sua organização evidencia, documentalmente, a adoção de boas práticas e demonstra o exercício de autoridade e controle sobre a gestão de ativos de dados.

Segundo o art. 50 da LGPD, o programa de governança em privacidade deve, no mínimo:

• demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
• ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
• ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
• estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
• ter o objetivo de estabelecer relação de confiança com o titular de dados, por meio de atuação transparente e que assegure mecanismos de participação do titular;
• estar integrado à estrutura geral de governança da instituição, além de estabelecer e aplicar mecanismos de supervisão internos e externos;
• contar com planos de resposta a incidentes e remediação;
• ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

E mais! A LGPD exige que a sua empresa demonstre a efetividade de seu programa de governança em privacidade de dados, especialmente, quando solicitado pela Autoridade Nacional de Proteção de Dados (ANPD).

Perceba que não basta afirmar que a sua empresa está adequada à LGPD. É preciso evidenciar que a organização possui um programa de governança em privacidade efetivo.

Este, portanto, é o principal papel da consultoria em LGPD: apoiar a sua empresa na implementação de um programa de governança em privacidade. Não se trata, assim, de simplesmente fornecer documentos ou templates, mas, de verdadeiramente, assessorar a sua organização nessa longa jornada de adequação.

Confira quais são as principais responsabilidades da consultoria em LGPD

A consultoria em LGPD desempenha diversas funções. Dentre elas, a principal é, justamente, a de dar início à implementação de um programa de governança em privacidade dentro da sua empresa.

A consultoria em LGPD, assim como o DPO as a service deverá, dentre outras atividades:

• formular regras de boas práticas para o bom funcionamento do programa de governança em privacidade;
• elaborar o mapeamento do ciclo de vida dos dados pessoais;
• determinar e documentar a base legal utilizada para o tratamento de dados pessoais;
• avaliar as atividades que geram riscos à organização e aos titulares de dados;
• entender quais são as normas aplicáveis à empresa;
• definir as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais;
• monitorar a conformidade da organização com a LGPD;
• elaborar Registros das Operações de Tratamento de Dados Pessoais e Relatórios de Impacto de Proteção de Dados Pessoais;
• realizar treinamentos e capacitações aos colaboradores.

Perceba, contudo, que o escopo do contrato definirá, exatamente, as atividades que serão desenvolvidas pela consultoria em LGPD. E aqui fica uma alerta: não existe soluções mágicas ou instantâneas. Toda e qualquer consultoria em LGPD que leve à sério, de fato, à implementação de um programa de governança em privacidade sabe que é um trabalho complexo e que se estende por alguns meses.

E mais: apesar de a consultoria em LGPD poder exercer diversas atividades próprias de DPO as a service, é preciso lembrar de que há outras que são privativas do Encarregado pela Proteção de Dados Pessoais, tais como as de aceitar reclamações e comunicações dos titulares, além de receber comunicações da autoridade nacional e adotar providências afins.

Em outras palavras: em que pese a consultoria em LGPD desempenhar atribuições semelhantes às de DPO as a service, com ele não se confunde.

5 cuidados antes de se contratar uma consultoria em LGPD

Antes de mais nada, é preciso entender que não há como implementar um programa de governança em privacidade apenas com base no preenchimento de documentos genéricos. Não caia nessa!  Por isso, antes de se contratar uma consultoria em LGPD, siga essas dicas:

1. Solicite referências de, pelo menos, 2 clientes que foram ou estão sendo atendidos pela consultoria em LGPD;
2. Defina muito bem o escopo do contrato, o prazo e, principalmente, os entregáveis, para só depois comparar as propostas comerciais. É que, em regra, nem sempre elas possuem o mesmo objeto;
3. Estabeleça o plano de comunicação e o ponto de contato da consultoria em LGPD;
4. Peça o currículo dos responsáveis pela coordenação e implementação do programa de governança em privacidade;
5. Acompanhe, de perto, o trabalho que está sendo desenvolvido pela consultoria em LGPD.

É de extrema importância, também, que a consultoria em LGPD tenha um time multidisciplinar e demonstre, por meio do coordenador e do implementador do programa de governança em privacidade, uma habilidade de liderança muito grande, justamente, por serem eles os responsáveis pela propositura dos planos de ação.

Exija que a sua consultoria em LGPD elabore os Registros das Operações de Tratamento de Dados Pessoais, por meio do mapeamento do ciclo de vida de dados pessoais. É que sem ele, não há como medir ou dimensionar os riscos e os gaps relacionados aos processos de negócio da sua organização.

Por fim, e não menos importante: a sua empresa não estará adequada apenas, por exemplo, com a melhoria do antivírus, com a modificação de cláusulas contratuais ou com uma simples política de privacidade. É preciso uma mudança cultural dentro da organização e isso passa, necessariamente, pela qualidade das entregas da consultoria em LGPD.

Quanto custa uma consultoria em LGPD

Essa é uma pergunta muito comum, mas não há uma resposta pronta! Na verdade, pode variar de centavos a milhões. É que há muitos fatores que podem influenciar, como, por exemplo, a experiência da consultoria em LGPD, o prazo de execução, o escopo do projeto, a forma de contratação, o número de entregáveis e o contexto da organização.

Lembre-se de que, assim como em qualquer mercado, há profissionais de tudo quanto é tipo. É preciso tomar muito cuidado! E aqui vai a dica mais preciosa: não leve em consideração apenas o preço! Na maioria das vezes o barato sai muito caro!

Descubra os 3 passos para a consultoria em LGPD implementar um programa de governança em privacidade

Há 3 passos essenciais para implementar e colocar em prática a LGPD na sua empresa.

Primeiro Passo: entender o contexto da organização

Antes de mais nada, é preciso entender o contexto da organização, conhecer as principais partes interessadas, formar o time de privacidade e sensibilizar os colaboradores.

É que sem engajar a todos, a LGPD torna-se apenas mais uma ferramenta burocrática dentro da organização. E lembre-se: não há um modelo único, por isso é necessário ter visão acerca das principais obrigações de compliance que a empresa, mandatoriamente ou voluntariamente, precisa cumprir.

Nessa fase, por exemplo, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

Não se esqueça, também, de ter bem clara a definição de papéis e responsabilidades, especialmente, em relação ao exercício da função de encarregado pelo tratamento de dados pessoais.

Segundo Passo: realizar a avaliação de riscos de compliance

Este passo vai exigir de você um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos ligados à proteção de dados pessoais e segurança da informação dentro da sua empresa.

A avaliação de riscos de compliance envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

É nessa fase também que você deve fazer o mapeamento do ciclo de vida dos dados pessoais da sua organização, com o objetivo de entender como ocorre a coleta, o processamento e o arquivamento de dados pessoais dentro da sua empresa.

Como se percebe, este é um passo fundamental para o sucesso do compliance dentro da sua empresa.

Terceiro Passo: implementação dos planos de ação

O terceiro passo corresponde à implementação dos planos de ação levantados na etapa anterior. É chegada a hora de “botar a mão na massa”, para dar início à elaboração da Política de Privacidade, da Política de Segurança da Informação e à adequação dos processos e procedimentos relacionados.

Por fim, e não menos importante, você deve realizar treinamentos e capacitações a todas as partes interessadas, com o objetivo de engajar cada vez mais as pessoas responsáveis pelo dia-a-dia da sua empresa.

Para facilitar, compartilhamos com você o passo a passo que utilizamos para colocar em prática a LGPD na sua empresa:

Conclusão: contrate uma consultoria especializada em LGPD

Não é tarefa fácil contratar uma consultoria em LGPD. Por isso, sempre procure por pessoas, verdadeiramente, capazes de apoiar a sua empresa nessa longa jornada!

E lembre-se: se é um programa de governança em privacidade, tem início, meio, mas não tem fim, cabendo à organização realizar o monitoramento contínuo da sua eficácia.

Por isso, antes de contratar uma consultoria em LGPD siga as dicas que compartilhamos com você nesse post!

E nunca se esqueçam de acreditar no poder das pessoas…é apenas por meio delas que conseguiremos promover uma verdadeira transformação da cultura de privacidade, proteção de dados pessoais e segurança da informação na sua empresa!