A adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) não é um evento único, mas um projeto contínuo de governança. Para que uma empresa esteja em conformidade, o primeiro grande passo, após a mobilização inicial, é compreender a sua realidade atual e compará-la com as exigências da lei. A esse processo analítico damos o nome de GAP Analysis (Análise de Lacunas) combinado com o Risk Assessment (Avaliação de Riscos).
O GAP Analysis tem como objetivo identificar falhas, vulnerabilidades e distanciamentos entre o cenário atual da organização (o “As-Is”) e o cenário ideal exigido pela LGPD (o “To-Be”), permitindo a construção de um plano de ação estruturado e fundamentado.
Abaixo, detalhamos os procedimentos para realizar essa análise de processos internos e propor recomendações de melhorias, conduzindo o trabalho processo por processo.
Fase 1: Preparação e Mobilização
Antes de analisar as falhas, é preciso estruturar o ambiente e as pessoas.
1. Formação de Equipe e DPO: Crie um Comitê de Privacidade multidisciplinar (envolvendo TI, Jurídico, RH, Marketing, etc.) e identifique a figura do Encarregado de Dados (DPO) que conduzirá o projeto.
2. Definição do Cronograma e Entrevistas: Estabeleça um cronograma claro e identifique quais membros da equipe e departamentos devem ser entrevistados durante o diagnóstico.
3. Aculturamento Inicial: Realize ações de sensibilização com os colaboradores para que entendam a importância do projeto e colaborem de forma transparente nas etapas seguintes.
Fase 2: O Mapeamento (Data Mapping e elaboração do ROPA)
O GAP Analysis só existe se você souber o que a empresa faz. É impossível proteger ou analisar o que não se conhece. Por isso, a equipe de privacidade deve realizar entrevistas com cada setor ou utilizar plataformas específicas para mapear o fluxo dos dados.
Para cada processo de negócio (ex: recrutamento e seleção, folha de pagamento, prospecção de clientes, envio de marketing), deve-se levantar e registrar:
-
Qual é a atividade de tratamento e a sua finalidade exata?
-
Quais dados pessoais e dados sensíveis (saúde, biometria, etc.) são coletados? Há dados de menores de idade?
-
Qual a fonte/origem desses dados?
-
Onde estão armazenados (físico, nuvem, servidores locais)?
-
Com quais departamentos ou empresas terceiras (operadores) esses dados são compartilhados? Há transferência internacional?
-
Qual é o período de retenção e como é feito o descarte?
O resultado desse mapeamento é o ROPA (Registro de Operações de Tratamento de Dados Pessoais), documento obrigatório exigido pelo art. 37 da LGPD.
Fase 3: A Execução do GAP Analysis (Análise de Lacunas por Processo)
Com o ROPA em mãos, o DPO e o Comitê analisarão cada processo mapeado à luz da LGPD. O objetivo é cruzar o que foi respondido nas entrevistas com os princípios e regras da lei para encontrar as “lacunas” (Gaps).
Nesta etapa, o analista deve fazer perguntas críticas para cada processo:
-
Ausência de Base Legal: A empresa tem uma justificativa legal válida (Art. 7º ou 11º da LGPD) para realizar esse processo? (Ex: Há consentimento válido? É execução de contrato? É legítimo interesse?).
-
Violação da Minimização: A empresa está coletando dados excessivos para a finalidade pretendida.
-
Falta de Transparência: O titular dos dados sabe que a empresa faz isso? Existe uma política de privacidade clara abordando este processo?.
-
Riscos de Segurança: A forma como o dado é armazenado e compartilhado é segura? Existe controle de acesso ou os dados ficam expostos?.
Junto ao Gap Analysis, realiza-se o Risk Assessment (Avaliação de Riscos). As vulnerabilidades encontradas devem ser classificadas em uma matriz de risco (medindo Probabilidade x Gravidade do impacto ao titular e à empresa) para definir o que deve ser corrigido com urgência (risco crítico/alto) e o que tem menor impacto (risco baixo).
Fase 4: Plano de Ação e Proposição de Melhorias
Após identificar os “Gaps”, o resultado final do diagnóstico é a elaboração de um Plano de Ação, que ditará os novos procedimentos que a empresa deve adotar.
As recomendações de melhorias geralmente se dividem em três pilares para cada processo vulnerável:
A) Recomendações Tecnológicas e de Segurança (Privacy by Design):
-
Implementar controles de acesso baseados em privilégios (apenas quem precisa do dado pode acessá-lo).
-
Adotar técnicas de anonimização, pseudo anonimização ou criptografia para dados em trânsito e em repouso.
-
Estabelecer o bloqueio automático de telas e políticas de senhas fortes.
-
Segregar bases de dados de forma lógica e física.
B) Recomendações Jurídicas e Documentais :
-
Novos Documentos: Criação de Políticas de Privacidade, Termos de Consentimento (se for a base legal escolhida), e Políticas de Retenção e Descarte Seguro.
-
Ajuste de Contratos: Revisão de contratos com fornecedores e terceiros (B2B, B2C, B2E) para incluir cláusulas de proteção de dados e delimitar a matriz de responsabilidades.
-
Elaboração de Relatórios: Para processos com alto grau de risco (ex: uso de biometria, IA, dados sensíveis em larga escala), recomendar a elaboração obrigatória do Relatório de Impacto à Proteção de Dados (RIPD/DPIA). Se o processo for justificado pela base do Legítimo Interesse, recomendar a aplicação do Teste de Balanceamento (LIA).
C) Recomendações de Governança e Treinamento:
-
Criar um canal de atendimento facilitado e um fluxo interno documentado para responder às solicitações dos titulares (exclusão, acesso, correção).
-
Desenvolver um Plano de Resposta a Incidentes de Segurança para saber como agir e quem contatar (ANPD, titulares) em caso de vazamento.
-
Promover treinamentos direcionados e reciclagem periódica para as equipes que executam os processos corrigidos.
Conclusão
O GAP Analysis é a ponte entre a insegurança jurídica e a conformidade efetiva. Ao finalizar o Plano de Ação derivado do diagnóstico, a empresa inicia a fase de Execução e, posteriormente, a de Manutenção, lembrando sempre que a governança de dados funciona como o ciclo PDCA (Plan, Do, Check, Act). Sempre que um novo processo de negócio for criado, uma nova análise de lacunas e riscos deverá ser realizada, garantindo que a proteção aos dados já nasça desde a concepção (Privacy by Design).
