8 passos para proteção de dados em escritórios

Começo este artigo com uma boa notícia: quase 80% dos escritórios ainda não implementaram medidas de proteção de dados e atendimento da LGPD como deveriam. Portanto, você não é o único que ainda não se movimentou para implementar regras mínimas de segurança de dados no seu escritório.

A má notícia é que, independentemente da sua preocupação ou dos seus concorrentes, a Lei chegou para ficar e as tentativas de prorrogar a vigência ou "aliviar" as exigências até agora não vingaram.

E só para ajudar, a ANPD (Autoridade Nacional de Proteção de Dados) que é quem fiscaliza a coisa toda, publicou no Diário Oficial as regras e rotinas de fiscalização em todo o país.

Ou seja: não é uma questão de SE você vai ter de se adaptar, mas sim QUANDO você terá que se mexer para que não acabe na fila dos autuados, dos endividados (sim, as multas vão para a Dívida Ativa da União e para o CADIN) ou pior: dos proibidos de tratar dados.

Para te ajudar a refletir sobre o assunto e para te mostrar que colocar seu escritório nos trilhos da LGPD é mais fácil do que imagina com alguma dedicação, montei esse passo a passo de como a coisa toda funciona e o que você precisa fazer. Você não precisa de mais do que 20 horas para resolver tudo!

Importante destacar que a LGPD se aplica a quaisquer tipos de dados pessoais sensíveis sejam eles digitais ou físicos (papel, livros, documentos etc.).

Eu não sei você, mas seu concorrente certamente não quer perder honorários pagando multas por falta de documentos. Veja agora como evitar isso.

PS: só para ajudar, em cada passo eu adicionei um "O que você ganha com isso?" para te ajudar a entender o reflexo da medida no seu negócio e na sua atividade profissional.

Passo 1 - Aceita que dói menos - Reunião de conscientização

Escritório que se preze tem pouquíssimo tempo para reuniões. Seja presencial ou virtual, temos uma rotina tão frenética que mesmo quando trabalhamos lado a lado com nossos colegas, mal conseguimos dividir os problemas do dia a dia.

Mas quando se trata de um assunto novo e que impacta na vida de todos (sim, de todos!) ainda mais por culpa de uma lei nova e cheia de regras e novidades "nunca na história" é fundamental uma reunião com todos os envolvidos.

E a primeira deve ser com todo mundo, até mesmo para que seja feita uma pergunta básica:

Todo mundo sabe ou já ouviu falar em proteção de dados? Sabem o que é a Lei Geral de Proteção de Dados?

Não se assuste com as respostas. e torço para que no seu time, alguém levante a mão e diga que leu alguma coisa ou que já ouviu falar.

Se nem isso acontecer, um conselho: CORRA para fazer com que pelo menos todos entendam que as informações que você recebe mensalmente dos seus clientes contêm centenas de dados pessoais sensíveis e que a sua equipe e seu escritório são responsáveis por proteger esses dados.

Caso você mesmo não tenha as informações necessárias para falar sobre LGPD com seu time, siga esse infográfico que indica rapidamente sobre os conceitos principais:

Veja que cada item do gráfico precisa de atribuições específicas, que vamos falar delas mais adiante. O importante é que todos entendam que tudo está interligado e que a participação coletiva é essencial.

O que você ganha com isso?

Bom, por mais que as novas exigências da lei sejam mais uma forma do Governo transferir para você medidas que seriam dele, simplesmente não fazer nada e esperar a notificação definitivamente não é um bom caminho. Afinal, imagine seus clientes sabendo que você não toma nenhuma atitude para proteger os dados deles como a lei manda?

Passo 2 - Cada um no seu quadrado - defina um encarregado, atribua tarefas e faça um mapa de dados

Após mostrar todos os itens básicos que envolvem a LGPD, temos que atribuir tarefas claras a todos os departamentos, incluindo você! Sim, proteção de dados é uma cultura e deve começar com o dono e a alta direção.

Não se trata de um "faça o que eu digo, não faça o que eu faço" porque no final, a responsabilidade da Lei em caso de infração é do controlador-operador, ou seja, você.

Você precisa literalmente indicar alguém que vai assumir o papel de "encarregado" pelos dados, pelo mapeamento e pelos relatórios. Até porque essa pessoa será a via de contato e esclarecimentos com a ANPD, conforme consta da lei.

Esse encarregado pode ser um colaborador que já está na sua equipe e que se identifica com essas atribuições. Ou pode ser um terceirizado (já existem empresas com essa mão-de-obra as a service).

Encarregue uma pessoa de cada departamento para ser a responsável por colher as informações para montar o mapeamento básico de dados. Talvez você nunca tenha ouvido falar em mapeamento ou data mapping, então vou dar uma rápida explicação.

Mapeamento de dados nada mais é do que conseguir alimentar uma planilha com várias classificações que a lei exige para indicar os tipos de dados que você tem acesso, como coleta, como trata, como armazena e de que maneira deleta ou mantêm eles no seu escritório e por quanto tempo.

Esta é a tela de um modelo básico de mapeamento de dados para o meu escritório. Como aqui só cabe uma foto, veja que a planilha possui:

• Várias abas, sendo uma para cada departamento (no meu caso foram 6)
• Dezenas de tipos de dados (no meu escritório identifiquei mais de 50 dados distintos)
• Colunas com as classificações essenciais para cada dado (na minha planilha foram 30 colunas de critérios)
• E em cada coluna eu classifiquei com dezenas de outras variáveis, algo assim:

Ou seja: para cada coluna com um critério, existem os enquadramentos da lei e das exigências. Enfim. se você não envolver todo o seu time, montar essa planilha vai levar séculos!

O que você ganha com isso?

Nomear alguém para cuidar do processo e das implementações deixa você menos assoberbado de trabalho (que você já tem demais, eu sei!) e ajuda em uma análise mais imparcial dos riscos e das medidas. Quando o próprio operador ou o controlador assume essa tarefa, é muito difícil não queimar etapas por achar que o processo "já está bom".

Passo 3 - A união faz a força - Envolva o jurídico e o pessoal de T.I.

Sim, eu sei o quanto é difícil colocar na mesma sala os advogados e seu pessoal de informática! Mas eles precisam de uma trégua para fazer a coisa acontecer.

Essa fase é muito importante pois muitos escritórios Brasil afora acham que meia dúzia de modelos de termos de consentimento e uma ou outra alteração no contrato com os clientes já são suficientes para estar em conformidade com a LGPD.

Infelizmente existem advogados por aí falando que "basta ter o consentimento" que a coisa está resolvida. Ledo engano!

Não quero te decepcionar caso já tenha investido algum dinheiro com profissionais que formatam esses modelos e eles te disseram que "é só preencher isso, colocar esse aditamento e pronto!"

A LGPD vai custar algum dinheiro para ser implementada, isso é fato! A diferença é que não adianta gastar mal e ainda ficar descoberto para tomar multas. Por isso mesmo fiz esse passo a passo para te ajudar a checar se ainda falta algo para sua maior segurança.

A T.I. (antiga informática, CPD ou algo do gênero) vai ser essencial para dizer quais os riscos tecnológicos potenciais da sua atual estrutura, além de sugerir as melhorias estruturais: máquinas, softwares, sistemas, critérios de segurança digital, criptografia e por aí vai.

Já o jurídico é fundamental para identificar os riscos burocráticos e legais do procedimento: termos de consentimento, aditamentos com clientes, aditamentos com fornecedores, revalidação de contratos de prestadores de serviços, especialmente os sistemas onde seu time roda os fechamentos, além de se familiarizar com as regras já publicadas para atendimento a futuras fiscalizações da ANPD ou requisição de dados de titulares ao Encarregado (nomeado no passo 2 lembra?).

Além disso, o jurídico vai ter que atuar muito próximo do Encarregado no atendimento a ANPD quando seu escritório for requisitado a fazê-lo. E o pessoal de T.I. será fundamental para tecnicamente manter seus dados o mais seguro possível e de implementar rotinas digitais com toda sua equipe.

O que você ganha com isso?

Envolver o time do jurídico e da tecnologia fará com que os estudos mais aprofundados sobre os seus papéis, aditamentos, critérios de segurança e medidas para a equipe seja mais profissional e que sejam verificados fatores de risco que você nem imagina. Além disso, vai dar a estes profissionais um papel importante na construção das políticas de privacidade e a você, a segurança necessária para evitar multas e vazamentos.

Passo 4 - Quanto mais, melhor - Detalhes todos os riscos (reais e potenciais)

O próximo e crucial passo é usar o mapa de dados e as orientações do Encarregado, Jurídico e do T.I. para identificar seus riscos reais e potenciais nos dados tratados pelo seu escritório.

Acredite, você vai se surpreender com as diversas "possibilidades" de vazamento ou de mau uso dos dados pelos quais pode ser responsabilizado.

Identificar os riscos é tão ou mais importante do que qualquer outro processo de implantação da LGPD. A lei geral de dados possui alguns princípios que precisam ser levados em consideração quanto aos dados, mais ou menos nessa ordem:

Partindo destas premissas, seu escritório PRECISA demonstrar que adotou medidas mínimas necessárias para eliminar ou pelo menos minimizar os riscos. Mais do que parecer, é preciso demonstrar como se faz!

E é exatamente por esta razão que identificar todos os riscos efetivos e que possam ocorrer (potenciais) torna-se um exercício permanente e que deve ser refeito pelo menos a cada 12 meses.

O mercado muda, as pessoas do seu time mudam, o perfil dos seus clientes muda. E a cada momento a Autoridade Nacional de Proteção de Dados está criando regras e adequações importantíssimas que vão muitas vezes precisar de readequação das rotinas.

Como falamos acima, na planilha do mapeamento é importante ter um campo mais ao final onde apareçam os seguintes itens:

a) especificação do risco

b) probabilidade do risco

c) impacto do risco

d) nível do risco

e) número do risco

f) medida para tratar o risco

g) efeitos da medida sobre o risco

Com esses fatores mínimos, já é possível montar um relatório bem estruturado dos riscos, que, como você verá mais adiante, irão compor o seu relatório final para a autoridade fiscalizadora.

O que você ganha com isso?

Você pode negar o quanto quiser, mas a verdade é que você, neste exato momento, não faz a menor ideia dos riscos e exposições de dados dos seus clientes que tem no seu escritório. Montar o mapa de dados e de riscos vai jogar no seu colo o tamanho do problema, da responsabilidade e do risco financeiro. Entender isso vai fazer você se mexer!

Passo 5 - Se existe dado, ele pode ser vazado - Defina as medidas de segurança para cada risco encontrado

Esse passo em especial merece um tópico justamente pela dificuldade que muitos escritórios têm de definir que medidas serão adotadas caso o risco seja identificado.

Não sem motivo! Nossa cultura dificulta bastante nosso olhar clínico e de planejamento, além da visualização de cenários que possam impactar em determinado evento.

Assim, esse campo do seu relatório de mapeamento deve ser preenchido dado a dado, já que cada um possui particularidades e características que cada departamento possui.

Um exemplo: Acesso ao certificado digital do cliente para emitir situação fiscal na Receita Federal.

É bastante comum que certificados dos clientes fiquem com o seu escritório, seja para transmissão das obrigações, seja para consultar a caixa postal eletrônica ou acessar o e-cac.

Porém o que deve ser analisado nesse caso é: quem usa, como usa, com quem fica a senha, em qual máquina ele é usado, o que é feito com a informação gerada a partir do acesso, os riscos do uso indevido (exemplos).

Como estamos falando de riscos, o uso indevido pode ser identificado no seu caso, digamos, no armazenamento do certificado. Vamos supor que ele fique em um armário do seu escritório, com todas as senhas coladas nele e que qualquer um de qualquer departamento possa pegar e usar a qualquer hora.

O risco potencial é de uso indevido e da divulgação da senha de acesso. Além disso, pode ser usado para fazer opções tributárias em nome do cliente sem que ele tenha solicitado (pedir um parcelamento, rescindir um parcelamento, optar por determinado regime tributário ou até mesmo uma alteração contratual não autorizada).

A medida que você pode adotar nesse caso, seria: retirar todas as senhas dos cartões e guardá-las em separado deles.

Entendeu a relação entre o risco e as medidas a serem adotadas?

Esse tópico precisa ser muito bem desenhado com sua equipe, até mesmo para não travar o dia a dia das rotinas de trabalho.

O que você ganha com isso?

Não basta dizer que sabe, é preciso provar que tomou os cuidados necessários! É uma máxima simples e objetiva que vai derrubar muitos dos seus concorrentes no mercado. Ou segue o formato adequado, ou é problema na certa.

Passo 6 - Quem gasta mal, gasta dobrado - Treine TODA a equipe (sem exceções!)

Sério! Isso é muito sério, mesmo!

Não adianta fazer todo um discurso de proteção de dados, de gestão de informações, nomear o encarregado, envolver o T.I., o jurídico, a alta direção, instalar sistemas mais seguros, colocar política de privacidade no site e criar dezenas de rotinas para diminuir os riscos se TODO o seu pessoal não for treinado.

Quando eu digo todo, é desde a secretaria, a telefonista até o Diretor Master (caso seja você mesmo, a carapuça é para servir!).

Temos uma mania incorrigível de querer fazer a "coisa pela metade" para economizar. No fim, fica mal feito, nem todo mundo entende o que tem que ser feito nem como, e acabamos com um problema maior do que o anterior: falhas de comunicação.

Por isso, é importante desenvolver uma cartilha mínima de política de dados, uma integração para todos os colaboradores atuais e uma rotina de treinamento para os novos que serão contratados no futuro.

Acredite, não adianta achar que quem está hoje no time vai treinar quem está chegando. É uma questão de escassez de tempo e senso de urgência: quem chega tem que se preparar, enquanto quem já está na rotina tem que conseguir cumprir os prazos (que aqui entre nós, não são nada fáceis!)

Se o seu escritório é pequeno, eu recomendo que segmente os treinamentos por departamentos. E faça VOCÊ um treinamento completo.

Caso seu escritório seja médio ou grande, o mais adequado é que todos façam um treinamento completo já que a dinâmica dos departamentos pode mudar e a comunicação entre eles precisa ser clara do porquê um setor usa o mesmo dado de um jeito e outro setor de outro. E isso só é possível quando todos entendem o que acontece em um e em outro setor de maneira transparente.

Existem empresas e consultorias especializadas em implementação de LGPD que você pode escolher de acordo com o seu orçamento. Os valores de implantação variam de R$ 5 mil a R$ 50 mil e levam entre 3 e 6 meses de implantação.

Acredite, faça ao menos um treinamento básico para compreender os impactos e a amplitude de tudo que vem ao galope da LGPD. Dinheiro bem gasto é com conhecimento. e nunca conhecer a lei fez tanta diferença quando o assunto é: não ser multado por mau uso de dados pessoais.

Garanto que há formação para todos os gostos e bolsos. O mais importante a saber é que neles você consegue, além do treinamento, os modelos de implementação e Certificado de conclusão ao final (e esse certificado vai ser muito importante e te conto mais adiante!)

O que você ganha com isso?

DINHEIRO! Ou alguém aqui está a fim de ficar torrando milhares de reais em medidas de adequação? O melhor custo-benefício sempre foi um santo remédio em situações de novas exigências legais.

Passo 7 - Diga-me com quem andas e te direi se tomarás multas - Prepare o relatório completo exigido pela ANPD

Sim, no final tem que preparar um relatório. Senão, qual seria a graça de ter esse trabalho todo?

A Autoridade Nacional de Proteção de Dados determina que o documento necessário para atender qualquer requisição é o chamado Relatório de Impacto a Proteção de Dados Pessoais - RIPDP.

Nele, existe um resumo bem estruturado de todo o caminho percorrido pelo seu escritório e pelo seu time para atender as exigências da LGPD. É ele quem vai provar para a autoridade fiscalizadora que você fez tudo o que estava ao seu alcance para evitar ou minimizar os riscos existentes.

Dentre vários campos deste relatório, um deles merece especial atenção, que nos leva ao passo 6 acima: TREINAMENTO.

Não basta dizer que todos sabem, é preciso provar que todos foram capacitados para saber.

Por isso, ter um certificado de cada colaborador treinado é fundamental para compor esse relatório. Ele também precisa ser assinado por TODOS os envolvidos, desde a reunião, os levantamentos, o mapeamento dos dados e os treinamentos.

Vou reforçar, já que todo profissional precisa ter isso em mente: ESTE SERÁ O DOCUMENTO A SER APRESENTADO À FISCALIZAÇÃO, compreendeu? Perfeito! (sim, em todos os treinamentos que indiquei acima existe um modelo apenas para ser preenchido do seu futuro RIPDP).

O que você ganha com isso?

Ter todo esse trabalho e adequar seu escritório, mas não fazer o devido registro na ANPD significa que todos os esforços ficarão guardados em segredo com você e sua equipe. Já imaginou o peso de falar aos seus clientes que suas medidas de segurança dos dados deles estão todos informados para a Autoridade de Dados?

Passo 8 - Seguro morreu de velho - Contrate um seguro cibernético contra vazamentos de dados

Eu sei que não temos uma cultura de prevenção. Aliás essa é uma das grandes barreiras que todas as empresas terão que enfrentar quando se trata de gestão de dados pessoais.

Nunca precisamos nos preocupar com isso nesse nível e com a nova lei parece que não se fala de mais nada a não ser essa necessidade incansável de proteger e adotar medidas para o principal produto do que entregamos ao fisco mensalmente: dados sensíveis.

Da mesma forma, os riscos só aumentam a cada dia. Bandidos especializados em invasão cibernética, roubo de dados e vazamentos triplicaram os ataques às empresas entre 2020 e 2021, sendo que a tendência é piorar. Dados do mercado indicam que o setor de serviços (sim, o seu, o meu e os demais escritórios) estão entre os top 10 mais procurados como alvo de invasão.

E sabe por quê?

Isso mesmo - porque eles sabem que praticamente ninguém está preocupado em nosso setor em tomar medidas de prevenção - o famoso "pagar para ver". E a conta vai chegar, garanto!

Apenas imagine a situação:

"você chega pela manhã no escritório, liga os computadores e todos recebem a seguinte mensagem na tela de abertura - seu sistema foi invadido e todos os seus arquivos estão criptografados - se quiser eles de volta, deposite BTC 5.00 na hash "..." em até 48h - caso contrário tudo será deletado e divulgado."

PS: só de referência caso você não seja muito familiarizado com bitcoins, o montante no exemplo acima é bem absurdo - e bem maior do que a multa da ANPD para o seu caso.

Ou seja: quanto vale a segurança dos dados do seu escritório (e dos dados dos seus clientes que estão sob seus cuidados?)

Caso nunca tenha vivenciado isso, te desejo sinceramente que nunca precise passar por algo assim. É frustrante, apavorante e totalmente imprevisível!

Por essa razão, adicionei esse oitavo passo sobre a contratação de um seguro. Já existem algumas empresas com apólices para a LGPD, mas é preciso ficar atento às condições e critérios. Além disso, se a seguradora não pedir o seu RIPDP ou seu mapeamento de dados, analise com mais atenção para saber se ele realmente cobre os possíveis vazamentos, indenizações, custos com perdas e demais sinistros com dados cibernéticos.

O que você ganha com isso?

Ter um seguro para ataques e vazamentos cibernéticos é a maneira mais barata e eficaz de ter alguém para pagar a conta se tudo der errado! Jogar fora anos de credibilidade e de economias para arcar com multas e processos é coisa que não poderia sequer estar nos riscos do seu escritório. Seu tempo é o bem mais valioso que você possui e perder dinheiro (e tempo!) porque não quer investir em segurança, certamente não é o seu objetivo de vida.

Resumindo

O cerne dessa questão sobre a Lei de Dados é bem simples de definir:

1. Goste ou não, as exigências da LGPD existem e você precisa se adaptar. Precisa treinar seu time. Afinal, o dia a dia do seu escritório está nas mãos deles.
2. Não é uma questão de gastar para se adequar, é uma questão de não perder! Quem for notificado e autuado, vai gastar dinheiro desnecessário.
3. Se você pode simplificar sua vida e já deixar isso resolvido, para que esperar o problema acontecer para só depois ter que tomar as medidas mais caras, na correria e sem tempo para compreender o processo?

No fim do dia meu amigo, quem vai pagar a conta se a lei não for atendida. é você!