Por conta da implantação da LGPD e de alguns projetos novos tive que me aproximar dessa área que me dá um pouco de medo, não é para menos, muitos advogados envolvidos. Brincadeiras à parte com meus amigos advogados, mas, quero falar da relação da LGPD com a qualidade.
Eu estava (e estou) preocupado com amigos, e empresas que precisam implantar a LGPD e estão buscando um caminho (a meu ver) duvidoso para isso.
Em uma pesquisa com pessoas relacionadas à qualidade, em empresas com sistema de gestão, eu fiz algumas perguntas sobre a LGPD. Visando principalmente, validar duas hipóteses que vinham me rondando.
Foram quase 100 empresas respondentes, e todas atuam com um sistema de gestão, que devem ser impactadas diretamente pela LGPD como toda empresa no território nacional.
Vou falar do resultado da pesquisa, e das minhas críticas a como a coisa vem acontecendo em diversas empresas. Vou apresentar as questões, e colocar meus pontos de vista.
Nesse momento confesso que pensei que minha hipótese 1: As empresas não estão prontas para a LGPD estaria errada, horas, mais de 60% sabem como isso afeta o sistema de gestão, logo devem estar preparadas. E a hipótese 2: Nas empresas LGPD não está integrada ao SGQ / SGI também vai estar furada, se sabem a relação, estão tratando o tema de forma integrada.
Mas vamos avançar nas perguntas, antes de tomar qualquer decisão.
Essa era uma pergunta direta, e a meu ver de simples resposta.
A resposta me deixou um pouco confuso, só 11% se dizem prontos para a Lei Geral de Proteção de Dados. Outro dado estranho é que 44% está no quase, mas a lei já entrou em vigor, e as multas começaram em agosto de 2021.
Não gosto do Quase, porque é algo como… uma mulher meio grávida. Não dá né? Ou está, ou não está. Mas tudo bem, é justo, pode ser que o processo de implantação esteja sendo concluído.
O número alarmante são os 25% não + os 19% Não, e preciso de ajuda! São 44% que não estão prontos.
Vamos supor que todos os “quase” terminem, ainda teremos 44% com um retumbante NÃO, é muita coisa. A hipótese 1 começa a ficar mais evidente pra mim.
Aqui minha cabeça deu um nó.
Só 22% estão com o mapeamento de dados realizado. Isso não faz o menor sentido. Como vamos compreender o fluxo de dados pessoais para tratá-lo, gerar os relatórios de impacto, e tudo que a LGPD pede, se não mapeamos os dados ainda.
São praticamente 77% das empresas que ainda não fizeram isso, sem isso, não existe LGPD. A Hipótese 1 é real, as empresas não estão prontas para a LGPD.
Essa foi a pá de cal. O principal instrumento que a LGPD requisita para as companhias é o RIPD. Junto com ele o entendimento do Legitimo interesse é fundamental, e menos de 4% das empresas emitiram esses relatórios.
Esse relatório é obrigatório, e pode ser solicitado pela ANPD (Autoridade Nacional de Proteção de Dados) para qualquer empresa. Estou convencido que a hipótese 1 está correta.
Por fim, 86% das empresas ainda não têm um processo para atualização dos mapeamentos de dados pessoais. Isso significa que não existe um trabalho sistêmico para que quando os processos mudarem, o mapeamento seja atualizado. Não existem processos para isso, e se não temos um processo para isso, eu presumo que a qualidade mínima não está estabelecida, não temos um padrão.
Fica evidente a hipótese 2: Nas empresas LGPD não está integrada ao SGQ / SGI
Meu ponto é que “mapear os dados” ou “implantar a LGPD” sem envolver os times e qualidade, é um trabalho que vai durar pouco. Se isso for feito pelo time de TI, compliance, controles internos, advogados, consultores, ou seja, lá quem for, sem envolver as pessoas que atuam nos processos, e os que garantem os processos (geralmente a qualidade) pouco vai durar.
Imaginem, uma semana após o término da “implantação da LGPD”, algum gestor de área resolve melhorar seus processos, no seu direito, pensando na melhoria do trabalho. Isso pode alterar de maneira profunda a coleta ou tratamento de dados. Podem surgir novos dados coletados, quem garante, que o processo que foi atualizado, vai ter seu mapeamento de dados atualizado, vai ter seu RIPD atualizado?
É claro que TI, Compliance, advogados e a turma dos controles internos são muito importantes na implantação da LGPD, tanto quanto, as pessoas da qualidade.
A LGPD influencia diretamente o sistema de gestão das empresas, esse deve ser um trabalho sistêmico, para que seja perene.
Não é uma questão de quem é melhor, é uma questão de como todos podem contribuir para fazer algo relevante, e eficaz.
Por fim, com minhas duas hipóteses validadas em uma pesquisa breve, posso afirmar sem dúvida que temos um longo caminho para a adequação das empresas à LGPD, e por isso estou trabalhando em algo novo que pode ajudar toda empresa que tem desafios nessa direção.
Que tal conhecer uma ferramenta que conecta a LGPD ao sistema de gestão da qualidade de forma inteligente? Acesse aqui e conheça o LGPDone!