GDPR 1 ano depois: desafios e aprendizados

O Regulamento Geral de Proteção de Dados (GDPR) está em vigor desde 25 de maio de 2018. Os relatórios de violações massivas de dados e a manipulação inadequada de dados pessoais por grandes plataformas online lembram-nos o quanto é importante preservar a privacidade, proteger o funcionamento das democracias e assegurar a sustentabilidade dos dados que impulsionam a economia.

Por ocasião do primeiro aniversário da GDPR, apresento alguns dados que podem servir como referência para a o Brasil quando a Lei Geral de Proteção de Dados (LGPD) entrar em vigor, em agosto de 2020.
Como referência foram utilizadas informações retiradas do Special Eurobarometer 487a (março de 2019); Website da The European Data Protection Board; Website da International Association of Privacy Professionals (IAPP); e do Relatório “A Era da Privacidade: O custo do cumprimento contínuo – Benchmarking do Impacto Operacional Contínuo do GDPR e do CCPA” (maio de 2019.

O estudo “A Era da Privacidade: O custo do cumprimento contínuo – Benchmarking do Impacto Operacional Contínuo do GDPR e do CCPA” pesquisou 301 profissionais envolvidos no processo de tomada de decisão no que se refere à regulamentação de privacidade. Todos os entrevistados trabalham em empresas com mais de 50 funcionários e são afetados por GDPR, CCPA ou ambos. Eles foram ouvidos em abril de 2019.

Para a maioria das empresas, demorou pelo menos 6 meses para atingir a conformidade com o GDPR. Com um ano em perspectiva, a única coisa que os profissionais de privacidade desejariam ter feito diferente seria começar a planejar e implementar mais cedo.
Os profissionais de privacidade compartilham que a conformidade com o GDPR era complexa para entender e difícil de gerenciar, consumindo milhares de horas e introduzindo riscos de tarefas manuais e consequentes erros. Pior ainda, eles concordam que o trabalho que fizeram para se preparar para a conformidade não é escalável para suportar novas regulamentações de privacidade.

O custo da conformidade é mais que financeiro, ele é operacional demandando investimentos contínuos. Para alcançar a conformidade as empresas destacaram muitos funcionários em dezenas de reuniões, consumindo centenas de horas de trabalho, sendo que, em algumas empresas, gastaram-se mais de 9 mil horas em reuniões de preparação. Até os decisores seniores passaram semanas, não apenas na preparação, mas também para manter a conformidade. Infelizmente, a preparação é apenas um ponto inicial.

Manter a conformidade exige que as empresas dediquem milhares de horas adicionais de seus colaboradores trabalhando em processos manuais com alta propensão a erros. Os profissionais de privacidade são desafiados a gerenciar com eficácia os fluxos de trabalho em vários sistemas e serviços, e lutar para integrar soluções de vários sistemas e serviços diferentes. Num esforço para minimizar os riscos, a maioria dos profissionais de privacidade reconhece a importância de reduzir os erros humanos relacionados a solicitações de relatórios de privacidade, mas a maioria das empresas conta com muitas pessoas para concluir o acesso ou a exclusão ao DSR (Data Subject Request*).

Agora, com a aproximação do prazo de validade da Lei de Privacidade do Consumidor da Califórnia (CCPA) e com uma onda mundial de iminentes regulamentações de privacidade, incluindo a Lei Geral de Proteção de Dados do Brasil, alguns profissionais de privacidade estão indo além dos fluxos de trabalho manuais e procurando maneiras de operacionalizar a gestão da privacidade para manter a conformidade a longo prazo.

A maioria das empresas adotou tecnologias, mas uma parcela menor percebeu os benefícios de automação utilizando alguns profissionais de privacidade para automatizar o inventário de dados. Quase a metade ainda depende muito de questionários ou pesquisas de fluxos de trabalho baseados em e-mail.

A conformidade imprime uma carga operacional enorme em toda a organização, mas a tecnologia pode ajudar a minimizá-la. Os pioneiros (early adopters) estão usando a tecnologia para integrar sistemas de negócios, reduzir erros humanos e suportar novas regulamentações. As empresas que são capazes de automatizar os processos manuais vinculados à conformidade de privacidade, como mapeamento de dados e processamento de DSRs, maximizam sua eficiência e eficácia para minimizar seus riscos e o custo da conformidade contínua.

José Ricardo Moraes é Business Development Executive da Neotel

Compartilhe
Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin