Não existe receita de bolo ou ferramentas mágicas, na área de proteção de dados e de privacidade, porque cada cliente é único e possui uma realidade distinta que demandará a adoção de medidas únicas para sanar suas necessidades. O que existem são processos de trabalho para guiar a atuação dos profissionais, sejam atuantes em consultorias, sejam atuantes como encarregados pelo tratamento de dados (DPO – Data Protection Officer).
Por isso, na minha metodologia de trabalho, antes de precificar e
iniciar o Programa de Adequação à LGPD, eu faço o que chamo de: Assessment Inicial ou Diagnóstico Pré-Contratual (DPC) do cliente. Nessa fase eu consigo conhecer o modelo de negócio do cliente e seu grau de maturidade no que tange à proteção de dados e de privacidade.
Essa primeira fase tem como principal função a de auxiliar os
profissionais na definição do escopo do Programa de Conformidade à LGPD e na precificação do projeto! Como falamos em nossa aula, um Programa de Adequação à LGPD é um conjunto de ações que devem ser executas para que uma empresa esteja em conformidade com a legislação.
A conformidade com a LGPD não se resume a uma Política de
Privacidade, a um software, a medidas de cibersegurança, a cláusulas contratuais, ao contrário, essas medidas fazem parte do conjunto de ações, sempre de acordo com as necessidades de cada cliente.
A ideia e o objetivo de um Programa de Adequação é a criação de
uma cultura! Vai muito além da adoção de medidas isoladas! Não caia nessa. O objetivo do Programa de Conformidade à LGPD é fazer da proteção de dados e da privacidade um dos pilares de sustentação do negócio do cliente, trazendo ainda vantagem competitiva dele no mercado, mitigação de risco e otimização de processos.
A LGPD não é burocrácia! Não venda seus serviços sob
essa perspectiva ou poderá ser seu fim!
A execução de Programa de Adequação demanda tempo, esforço e
dedicação do profissional que está conduzindo e do cliente. Lembre- se da nossa #nãoexistereceitadebolo.
Para atuar na área de proteção de dados e de privacidade não
são necessárias certificações nacionais ou internacionais, não é necessária nenhuma formação específica. A LGPD é para todo mundo! Advogados, profissionais de tecnologia da informação, profissionais de administração, profissionais da segurança da informação, profissionais de recursos humanos, profissionais de marketing podem atuar nessa área.
Há um clubinho da área de proteção de dados que prega a ideia de
que a LGPD é para poucos, mas isso não cola! Essa é uma crença limitante que foi instituída no mercado, talvez por interesses óbvios, mas que não é verdade.
A área de proteção de dados pessoais é democrática e traz espaço
para todos os profissionais. O que não dá, para mim, é limitar a atuação das pessoas. Por isso, lembre-se do nosso lema: Ninguém pode falar o que podemos ou não fazer! Nós fazemos a nossa própria história!
Vamos conhecer a Agência Diamante Digital e analisar seu grau de
maturidade? Checklist – Questionamentos prévios (análise de maturidade) Questionamentos Resposta Área/Mercado de atuação Prestação de Serviços Prestação de Serviços para Indústria desenvolvimento de Branding, Tecnologia através de Inbound Marketing Varejo para criação de uma audiência Bens de Consumo segmentada qualificada, escalando Financeiro as vendas de produtos digitais. Jurídico Qual o porte da empresa? Microempresa (faturamento até R$ 360k) Pequena empresa (faturamento R$ É uma empresa de pequeno porte 360k até R$ 4,8 MM) que faturou R$ 3.000.000,00 de Médio Porte (faturamento R$ 4,8 MM reais no último ano. até R$ 300 MM) Grande Porte (faturamento maior que R$ 300 MM) Possui funcionários? Quantos? Sim, são 6 colaboradores diretos. Não sabemos essa informação, pois o nosso Departamento de Possui contrato com os funcionários? Recursos Humanos é terceirizado e não temos controle sobre esses processos. Depende, as vezes nossos clientes Os seus clientes são pessoas físicas ou possuem empresas constituídas, as pessoas jurídicas? vezes são pessoas físicas. Sim, nosso modelo de negócio é Trata dados pessoais? baseado em dados pessoais. Atualmente, contando com todos os experts que possuímos sociedade, Qual o tamanho da base de dados? temos aproximadamente 500 mil dados na base. Dados pessoais (nome, e-mail, Qual a tipologia (dados sensíveis, telefone), identificáveis (perfil identificados, identificáveis, públicos, comportamental, preferências, crianças e adolescentes) dos dados costumes, gostos), dados sensíveis tratados? (religião, etnia, orientação sexual) e dados manifestamente públicos. O tratamento de dados pessoais inclui Sim, utilizamos serviços do automatização na tomada de decisões facebook ads e do google ads que ou cria perfis com base nos dados utilizam de ferramentas de profiling pessoais tratados (profiling) ou faz uso e analytics. analítico (analytics)? Checklist – Questionamentos prévios (análise de maturidade) Questionamentos Resposta Nunca pensamos sobre esses temas no nosso modelo de negócio, mas O tratamento de dados é executado temos alguns processos internos com base nos princípios da Lei Geral (boas práticas do mercado) que de Proteção de Dados? talvez se adequem aos princípios da segurança, qualidade, finalidade e transparência. O tratamento de dados se justifica em Sim, toda a coleta de lead é feita alguma das 10 bases legais previstas com base no consentimento. na LGPD? Para nós a finalidade é clara, ou A empresa possui finalidades claras seja, nós coletamos e usamos esses e especificas para os tratamentos de dados para divulgar conteúdos e, dados que realiza? desta forma, vender mais. O serviço/produto é fornecido Digitalmente. fisicamente ou digitalmente? Se for digitalmente, é por meio de site Através de páginas na internet. e/ou aplicativo? A Agência possui um site comercial, em que temos um formulário de contato, sem coleta Tem site ou aplicativo? de cookies. No mais, no nosso modelo de negócio, nossos experts têm sites (páginas de captação de lead, blog, página de venda) No nosso site não possuímos, mas nas páginas dos experts temos uma Possui uma Política de Privacidade política de privacidade padrão externa? (não sabemos/lembramos quem elaborou essa política). Possui um Termo de Uso? Não temos. Sim, usamos o consentimento no Utiliza o consentimento para tratar nosso modelo de negócio (no dados? Em caso afirmativo, o momento da captação de lead). consentimento é obtido por escrito O consentimento é presumido, ou por outro meio que demonstre a pois não registramos ele na nossa manifestação de vontade do titular de ferramenta de e-mail marketing, dados? apenas identificamos que a pessoa submeteu seus dados. Internamente sim, mas nunca A empresa é clara, precisa e objetiva pensamos nessa perspectiva no quanto às finalidades para as quais os ambiente externo, ou seja, nas dados serão tratados? páginas de captação de lead, blog e venda. Checklist – Questionamentos prévios (análise de maturidade) Questionamentos Resposta Nós oferecemos a opção de opt out (uma boa prática do mercado), A empresa possui mecanismos para mas não temos controle sobre isso, possibilitar o consentimento seja confiamos que a nossa plataforma revogado pelo titular? de e-mail marketing faz a exclusão quando a pessoa solicita. Sim, 6. Axuna, ferramenta interna de gestão de demandas. ABC8, empresa de departamento de recursos humanos e contábil/ fiscal. LEADBOMB, ferramenta de Possui fornecedores que prestam automação de e-mail marketing e serviços? Se sim, quais e quantos? armazenamento de leads. Facebook e Google para gerenciamento das campanhas. Quentmart para hospedagem dos infoprodutos dos experts.
Não sabemos, mas acreditamos
Possui contrato firmado com estes que com a Axuna, LEADBOMB, fornecedores? Facebook, Google e Quentmart foi assinado algum termo de adesão.
A empresa possui uma metodologia
de auditoria prévia de privacidade Não possuímos. e proteção de dados para fins de negociação com terceiros? Sim, os dados dos nossos colaboradores são compartilhados com a ABC8. A empresa compartilha dados pessoais Já os leads são compartilhados com com os terceiros contratados? a LEADBOMB, Facebook, Google e Quentmart.
A empresa utiliza sistemas/softwares
LEADBOMB e Axuna. internos? Se sim, quantos e quais? A empresa conduz avaliações de vulnerabilidade e testes de penetração Não conduzimos. em seus sistemas/softwares? Checklist – Questionamentos prévios (análise de maturidade) Questionamentos Resposta Não sabemos, mas acreditamos que Tem transferência internacional de sim, pois as empresas LEADBOMB, dados? Axuna, Facebook e Google são internacionais. Os países para os quais a empresa Não sabemos dessa informação, realiza transferência internacional de pois desconhecemos quais são os dados possuem grau de proteção de países. dados adequado? São armazenadas na ferramenta LEADBOMB, não sabemos ao certo Os dados pessoais são armazenados quão segura é a ferramenta, mas em um local e ambiente seguros? confiamos que seja, pois é uma das principais ferramentas do mercado. Não sabemos onde a LEADBOMB armazena os leads, nem onde a ABC8 armazena os dados dos Utiliza serviço de cloud? Em que país nossos colaboradores. estão localizados os dados? Utilizamos o serviço doisdrive para armazenar os vídeos e fotos dos experts.
É utilizada alguma ferramenta
tecnológica que efetue a criptografia Não possuímos essa informação. (irreversível) dos dados? Possui Política de Segurança da Informação, Programa de Proteção Não possuímos. de Dados Pessoais e/ou Programa de Governança de Privacidade? Possui política de backup de dados? Não possuímos. Os colaboradores são/foram conscientizados com relação à Não. proteção de dados pessoais? Existe um processo formal para Não temos treinamento e nem revisar e atualizar o treinamento processos de revisão. periodicamente? A empresa exige que seus funcionários Não temos essa informação porque e prestadores de serviços assinem a empresa ABC8 é quem cuida acordos de confidencialidade e desses assuntos para nós. segurança de dados? Possui Política de Senha? Não possuímos. Possui Política de Home Office Não possuímos. seguro? Checklist – Questionamentos prévios (análise de maturidade) Questionamentos Resposta O acesso a dados pessoais está restrito Nunca pensamos nisso, acreditamos somente a funcionários autorizados que todos devem acessar tudo na (política de hierarquização de empresa para otimizar o dia a dia. acessos)? Não, nós prezamos pela A empresa possui uma política manutenção dos dados em nossa periódica para eliminação de dados base pelo maior tempo possível. pessoais? Lead = dinheiro. Sim. Não temos um prazo máximo Os dados pessoais são tratados por de manutenção dos leads em nossa período indeterminado? base, salvo quando o usuário solicita o opt out. A empresa possui Política de Descarte Não possuímos. Seguro de Dados? A empresa anonimiza os dados pessoais que permanecem em Não anonimizamos. seus sistemas após o término do tratamento? Nunca pensamos nisso, o único A empresa possui processos internos que conseguimos atender é o de aptos a atender às solicitações para opt out da lista (revogação do exercício de direitos dos titulares? consentimento). A empresa possui registros de todos os Nós contamos que a empresa dados pessoais por ela tratados e seus LEADBOMB registra os dados respectivos titulares? tratados. A empresa nomeou um Encarregado Não possuímos. (Data Protection Officer - DPO)? A empresa possui alguma certificação Não possuímos. de segurança (ISSO 27701, 27001)? A empresa possui processos para notificar os titulares em caso de Não possuímos. violação de dados? A empresa é capaz de detectar Internamente não possuímos incidentes de segurança (acesso nenhum mecanismo nesse sentido, não autorizado, destruição, perda, mas acreditamos que nossos alteração e violações de dados)? parceiros/fornecedores possuem. É do seu conhecimento que sua empresa tenha passado por algum Não temos esse conhecimento. incidente de violações de segurança da informação no último ano? Como visto em nossa aula, a Agência Diamante Digital possui um grau baixo de maturidade no que tange à proteção de dados pessoais e privacidade, pois não possui controles internos quanto ao tratamento de dados, nem tão pouco processos internos bem definidos para a proteção desses dados.
No mais, a Agência Diamante Digital não possui medidas jurídicas
e administrativas aptas a garantir a segurança dos dados de seus colaboradores e dos leads coletados.
Agora que sabemos qual o grau de maturidade do nosso cliente e
já possuímos as informações necessárias para mensurar o esforço necessário para a execução do Programa de Adequação da Agência Diamante Digital, conseguiremos definir o escopo do projeto e o preço dos honorários. Vamos fechar o contrato com o nosso cliente e dar início ao Data Mapping Depois de termos analisado o modelo de negócio do nosso cliente, conhecido e compreendido o seu grau de maturidade e de adequação à Lei Geral de Proteção de Dados Pessoais, iremos agora definir o escopo do nosso projeto e precificar o projeto do nosso cliente.
Como já abordamos na nossa Aula 1, existe uma metodologia para
a aplicação da teoria da LGPD na prática e, essa metodologia, é composta por algumas fases, etapas e atividades (Aculturamento, Data Mapping, Gap Analysis, Plano de Ação, Implementação e Monitoramento), sendo essa metodologia a base lógica para os desdobramentos do nosso cronograma e da precificação.
Nesse sentido, inicialmente, você precisa definir quais serão os
serviços que você irá executar na sua consultoria (lembre-se que você não é obrigada a executar tudo, você pode definir e empacotar seus serviços, deixando claro para o cliente o que você executa e o que você não executa).
Dito isso, após a definição do seu “pacote de serviços”, você precisa
elaborar e definir um cronograma e o escopo do projeto. Para a Agência Diamante Digital, definimos o seguinte escopo inicial de projeto: Fase 1 – Aculturamento e Onbording
1 – Reunião de onbording e planejamento
2 – Formação inicial em LGPD 3 – Esclarecimento de dúvidas
Fase 2 – Data Mapping
1 – Elaboração e envio de planilhas e formulários
2 – Entrevistas individuais para preenchimento de planilhas e formulários 3 – Definição de Bases legais 4 – Segunda rodada de entrevistas
Fase 3 – Elaboração do ROPA
(Relatório de Operações de Tratamento de Dados)
1 – Elaboração de Relatório de Operações de
Tratamento de Dados Pessoais
Fase 4 - GAP Analysis
1 – Análise e diagnóstico das planilhas de mapeamento
2 – Análise e diagnóstico dos formulários de mapeamento 3 – Análise e diagnóstico de Contratos, Políticas internas e externas 4 – Análise e diagnóstico de Processos Internos
Fase 5 – Plano de Ação
1 – Elaboração de Plano de Ação e entrega do
Programa de Privacidade e conformidade à LGPD Agora, é hora de precificar! Depois que definimos o escopo do projeto dos nossos clientes, iremos definir a forma de precificação. No momento de precificar temos que analisar diversas variáveis para conseguir precificar de forma estratégica, competitiva e, principalmente, realista.
Nesse sentido, quando formos colocar preço nos nossos serviços,
devemos ter em mente o resultado do Assessment inicial (DPC) que executamos em nosso cliente, lembrando as particularidades do seu modelo de negócio, seu grau de maturidade e nível de adequação.
OBSERVAÇÃO IMPORTANTE: Preço é diferente de valor, por
isso, além de precificar de forma coerente com o escopo dos serviços que você irá executar, você precisa valorizar seus serviços e empregar VALOR a eles, pois somente assim os clientes irão valorizar e pagar!
Importante! Não apresente uma Proposta de Honorários
sem conhecer o negócio do cliente, suas operações de tratamento, sua complexidade de tratamento, seu nível de maturidade e grau de adequação. Dando continuidade, os honorários para execução desse escopo inicial do projeto da Agência Diamante Digital foram definidos da seguinte forma:
VALOR DE HORA INTELECTUAL x TEMPO DE EXECUÇÃO
x ESFORÇO x RISCO
Antes de decidir ir ao campo de batalha da LGPD, você precisa dar
alguns passos na escada de aprendizado e de evolução, lembra? Por isso, aí vão alguns passos antecedentes e de extrema importância para que você consiga precificar seus serviços:
Passo 1 – Conhecer e calcular o valor da sua hora intelectual!
Passo 2 – Determinar o sua tempo de execução das atividades
definidas no escopo do seu projeto!
Passo 3 – Identificar o seu esforço para execução do projeto
(diante do nível de maturidade e grau de adequação do cliente e do seu nível de conhecimento e de experiência)!
Passo 4 – Analisar o seu risco ao assumir o projeto do cliente
(com base na complexidade do negócio, faturamento etc.). Outro passo fundamental antes de ir ao campo de batalha da LGPD é “arrumar a sua casa” e tornar o seu negócio seguro. Normalmente, você não aprende isso na faculdade, no MBA, na pós-graduação, você aprende “tomando na cabeça” e enfrentando problemas. Por isso, elabore uma boa Proposta de Honorários e um bom Contrato de Prestação de Serviços para a sua consultoria.
Lembre-se que a Proposta de Honorários, normalmente, é o primeiro
documento que o cliente vê, e nós sabemos que a primeira impressão é a que fica, né?
Então, cuide para que a sua Proposta de Honorários esteja bem
escrita, clara, objetiva, isso, pode ser metade do caminho para que o cliente entenda os seus serviços, veja valor e queira fechar com você. Já, o Contrato de Prestação de Serviços da sua consultoria é o instrumento hábil para garantir que as obrigações, responsabilidades e regras vigentes entre você e seus clientes estarão claras. No mundo dos negócios o romantismo de “todos amigos” deve ser deixado de lado e tudo deve ser o mais claro, transparente e definido possível!
Na próxima aula, nós iremos entender o que é um Data Mapping e
o GAP Analysis e executaremos essas fases no Projeto da Agência Diamante Digital na prática (juntos – em tempo real).