Capef conclui diagnóstico sobre gap da LGPD na entidade

Com o advento da Lei Geral de Proteção de Dados (LGPD), que a princípio deve entrar em vigor em maio de 2021, as Entidades Fechadas de Previdência Complementar (EFPC) começam a se preparar para a adequação perante à nova legislação. O primeiro passo para isso é identificar quais são os gaps que a entidade tem em seus processos internos em relação ao que é exigido na lei. A Capef foi uma das fundações que iniciou essa análise, e já concluiu um diagnóstico com auxílio da Murah, parceira da Conecta na detecção dos gaps em relação às estruturas e processos das EFPC frente à LGPD.

Segundo o Diretor Presidente da Capef, Jurandir Mesquita, o trabalho da entidade começou a partir da estruturação de um grupo de trabalho interno para fazer a aderência dos processos, sistemas, políticas e procedimentos à nova lei. "Decidimos contratar uma consultoria para fazer o diagnóstico da situação, e tomamos conhecimento que a Conecta estava intermediando esse serviço de contratação com a Murah". No início de março, o trabalho de consultoria começou dentro da Capef com entrevistas com todos os colaboradores para identificar a situação atual da fundação e o que precisaria ser implementado para a adequação completa à LGPD.

"Toda as áreas da Capef foram consultadas para identificar o fluxo e armazenamento de dados dos nossos participantes, como esses dados transitam entre patrocinadores, a Capef, e prestadores de serviço, onde estão as fragilidades e como mitigar riscos", explica Jurandir. Após cerca de 45 dias de entrevistas e análise de gap, a Murah entregou à Capef um relatório final com o diagnóstico e um plano de ação que pode ser implementado para suprir essa demanda. "Em termos percentuais, estamos em torno de 10% aderentes à lei, ou seja, teríamos que fazer uma adequação de 90% envolvendo desde sistemas, procedimentos, políticas, ferramentas, até treinamentos", diz.

Panorama – Segundo Alessandra Martins, consultora na Murah que realizou o trabalho na Capef, é comum que as EFPC e instituições de outros setores se deparem com um gap tão grande em relação à LGPD. "A segurança nem sempre foi uma preocupação e agora a lei vai obrigar a ser. Quando você analisa os gaps e entende as ferramentas utilizadas em uma empresa, são encontradas essas falhas", explica. "A maioria das empresas não está preparada para a LGPD no Brasil, e quem está normalmente são multinacionais, que já respondem a outras legislações que as obrigam a padronizar processos, segurança, a ter papéis de responsabilidade definidos e um certo grau de maturidade em relação a processos internos, controle, transparência e monitoração".

O gap analysis, que culmina em um diagnóstico, é primeira parte do trabalho da Murah, que avalia a maturidade da documentação, processos, e das áreas de negócios, entendendo quais setores que trabalham com dados pessoais e dados sensíveis. "A gente dissemina o conhecimento da lei, gerando uma conscientização. As áreas devem entender o que é a LGPD, e qual é a contribuição da empresa inteira, que deve estar comprometida com a questão da segurança e privacidade dos dados", diz Alessandra.

A partir dessa análise, a Murah nivela os processos com o que a lei pede, ajudando a entidade entender as bases legais que levam a um novo tratamento dos dados. "Por exemplo, qualquer dado a mais que a entidade colha que não seja obrigatório deve ser justificado. Mas isso não isenta ela de informar aos participantes, apresentar a política de privacidade, dizer como ela trata os dados, etc.", diz a consultora. Em relação à parte digital, com sites e aplicativos, o gap pode ser ainda maior, pois envolve política de privacidade e de cookies, informações sobre os aplicativos, como esses dados trafegam, entre outros pontos. "Nós apontamos os riscos conforme os processos por cada área", ressalta Alessandra.

Segundo a consultora, após esse diagnóstico, o pulo do gato é comprovar que medidas técnicas e administrativas que a legislação pede estão sendo implementadas. "Após feita a análise dentro de todos os processos das empresas, identificando os gaps em relação a lei, é preciso comprovar que os processos estão sendo corrigidos", destaca. "Se a empresa mostrou que mapeou e está agindo, executando um plano de ação, isso já ajuda. Ela consegue, por exemplo, ir para um termo de ajuste de conduta em vez de pegar uma sanção mais pesada", complementa.

Plano de Ação – A partir do gap analysis, a Murah oferece a implementação do plano de ação, que é o que precisa ser feito para alcançar a conformidade perante a lei. "É um conjunto de recomendações para corrigir riscos e problemas. Se a empresa quiser contratar, a Murah executa", diz Alessandra. "O importante é que a entidade não fique parada após a análise de gap. A lei diz que a empresa não pode ser negligente e omissa; deve agir", enfatiza.

No momento, a Capef ainda avalia como será a forma de implementação desse plano de ação, discutindo qual empresa vai executá-lo. "Os prazos estão apertados. Essa é uma legislação nova, e a gente sabia que é exigente, e que precisamos fazer grandes adaptações na parte de tratamento de dados pessoais para preservar as informações dos participantes", destaca Jurandir Mesquita.Ele ressalta a qualidade do trabalho da Murah em termos da relação custo-benefício, o resultado do trabalho bastante detalhado, extenso, e que evidenciou conhecimento profundo da consultoria sobre o assunto.

Conecta – “A avaliação positiva da Capef em relação ao custo-benefício e qualidade do serviço de gap analisys realizado pela Murah é extremamente importante para nós, pois, referenda os critérios que utilizamos para modelagem da parceria", destaca Cláudia Janesko, Superintendente Executiva da Conecta. "O relato do Dr. Jurandir, destacando satisfação em relação à entrega para nós foi determinante para evoluirmos com a Murah a parceria, tratando nesta segunda fase do processo de implantação dos planos de ação”, complementa. Saiba mais sobre a consultoria oferecida pela Murah em parceria com a Conecta.

Fonte: Abrapp em Foco, em 10.06.2020