Os custos de não se ter uma visão unificada do titular nos tempos da LGPD

Por Julio Costa - Diretor de Atendimento na MD2 Consultoria

Não é novidade para ninguém que, desde a consolidação da GDPR (General Data Protection Regulation) e do projeto de lei que culminou com a LGPD (Lei Geral de Proteção de Dados), o tema de Governança de Dados está cada vez mais em voga em nosso país. Se antes esse tema era visto pela maioria das empresas como algo legal de se ter, mas não necessariamente prioritário ou urgente; agora tornou-se fundamental para que elas possam se adequar às exigências da lei. E esse senso de urgência é causado principalmente pelo temor associado as penalidades previstas em lei: empresas que descumprirem a LGPD poderão ser multadas em até 2% de seu faturamento ou no limite de R$50 milhões, por infração. Esse contexto ajuda a explicar o porquê dessa corrida que estamos observando para as iniciativas de adequação a lei, envolvendo projetos de apoio para o estabelecimento de programas de governança de processos e de dados.

Governança de dados representa a aplicação de boas práticas que envolvem pessoas, processos e tecnologia para tratamento de dados em si, o que inclui coleta, processamento, armazenamento, compartilhamento, análise e publicação dos mesmos. Nessa linha, para um bom programa de governança de dados à luz da LGPD, torna-se fundamental que a empresa conheça muito bem os dados de seus titulares. Possuir uma visão unificada de seu titular; ou seja, saber quais e onde esses dados estão armazenados, para que finalidades de negócio e vinculados a quais hipóteses legais, se são ou não compartilhados com terceiros e se há registro de consentimento para as finalidades baseadas nessa hipótese; é o melhor caminho para que a empresa consiga garantir, com qualidade e assertividade, os direitos dos titulares previstos na lei.

Empresas de médio e grande porte, que possuem dezenas/centenas de sistemas, com milhares/milhões de registros de titulares e que não possuem essa visão unificada do titular, certamente terão dificuldades para atender aos requisitos previstos na LGPD como responder uma consulta completa de um titular, aplicar o direito do esquecimento ou ter o controle de que titulares de fato consentiram o uso de seus dados para determinadas finalidades. Imaginemos o seguinte cenário:

  • Uma empresa que possui 2 milhões de titulares e que esses dados estejam espalhados em 20 sistemas/bases de dados diferentes;

  • Por mês, ela receberá uma média de 1.000 requisições de titulares, envolvendo solicitações de esquecimento, consulta completa, portabilidade dos dados ou confirmação da existência de tratamento. OBS: se pensarmos em 1.000 requisições de titulares distintos, estamos falando de apenas 0,05% dos titulares presentes nas bases da empresa;

  • Se imaginarmos que, para cada solicitação, a empresa consuma 4 horas de trabalho (pensando de forma otimista, pois teremos minimamente horas do atendente da solicitação e dos responsáveis pelos sistemas que terão que apoiar nessas consultas às bases de dados) e que cada hora de trabalho tenha um custo médio de R$90,00, estamos falando de um custo de operação mensal girando na casa de R$360.000,00. Ou seja, em 1 ano, uma projeção de R$4.320.000,00. E entendendo que isso deverá se perdurar para os próximos anos.

  • Ainda nesse contexto, soma-se o risco de falha humana nesse processo, o que poderá gerar ônus caso haja uma entrega de informação ao titular de forma incorreta ou incompleta.

Apesar da simplicidade do exemplo acima e das possibilidades de variação desses números de acordo com o porte e estimativas de cada empresa, vejo que a LGPD trouxe uma racionalidade ainda maior para justificar a necessidade de consolidação de uma base unificada dos titulares. Além da redução do custo operacional recorrente, ela também entregará qualidade e segurança para que a empresa possa responder as requisições previstas na lei além de, obviamente, utilizar-se dessa informação para conhecer melhor seu ativo, apoiar as iniciativas de negócio a partir da informação mais qualificada e do controle sobre que dados poderão ser usados para cada finalidade de negócio.

A MD2, empresa especializada em Governança de Dados e líder no mercado brasileiro em iniciativas de MDM (Master Data Management) de Pessoas, através do MD2 Quality Manager, entrega aos seus clientes a visão unificada de titulares, disponibilizando toda a rastreabilidade de seus dados nos sistemas de origem, vinculando-os aos processos de negócio e tratamento de dados e permitindo assim toda a gestão do enquadramento legal desses dados (incluindo também a gestão do consentimento). Ou seja, através da implantação do MD2 Quality Manager, a empresa conseguirá obter a informação completa e confiável de seu titular de forma imediata, sem a necessidade de despender esforço operacional das pessoas responsáveis pelos sistemas para obtenção dessas informações.

MD2 Quality Manager - Visão 360 do Titular*

1617287711637.png

MD2 Quality Manager - Rastreabilidade do Titular nos Sistemas/Bases de Dados*

1617288008375.png

* As imagens representam dados de um titular fictício.