Com a proximidade da data de entrada em vigor das sanções administrativas introduzidas pela Lei Geral de Proteção de Dados - LGPD (a ocorrer em 1º de agosto de 2021), muitas empresas passam a refletir sobre a efetividade das medidas adotadas para adequação à referida lei, questionando se estão funcionando da forma como foram idealizadas. Em linhas gerais, estamos em um momento no qual muitas empresas já passaram por um "projeto de adequação" à LGPD, mas ainda não se sentem totalmente seguras quanto à efetividade e completude do que foi feito.
Para evitar que fragilidades se tornem evidentes em momentos indesejados, como em eventuais auditorias e investigações conduzidas pela ANPD, é importante incorporar a definição e a medição de métricas de desempenho (conhecidas como KPIs - Key Performance Indicators) nas rotinas do programa de privacidade. Além de permitir a identificação de eventuais vulnerabilidades, a implementação de KPIs é essencial para manutenção do programa de privacidade, vez que: garante visibilidade à alta direção em relação ao retorno dos investimentos realizados (bem como argumentos objetivos para atrair investimento adicional nas frentes em que for necessário), traz clareza ao encarregado pelo tratamento de dados (DPO) quanto ao comprometimento dos demais colaboradores em relação ao tema e torna possível o atendimento das boas-práticas relacionadas no artigo 50, § 2º, I "h" e II da LGPD (que tratam da atualização e eficácia das medidas de governança).
Em suma, são os KPIs que vão trazer à empresa um mapa daquilo que ainda precisa ser ajustado, bem como clareza quanto aos pontos fortes do programa de privacidade implementado. A seguir, trazemos algumas dicas que podem auxiliar na definição de métricas e metas factíveis, claras e eficientes para se implementar o relevantíssimo processo de medição da efetividade do programa de privacidade:
Estabelecer métricas objetivas e metas alcançáveis: os indicadores não devem refletir propósitos amplos (exemplo: garantir a disseminação do tema de privacidade e proteção de dados no ambiente de trabalho), e sim objetivos estruturados e dimensionáveis (exemplo: realizar três sessões de treinamento por mês direcionados aos colaboradores do departamento de recursos humanos).
Além disso, é recomendável que o trabalho de medição da efetividade de um programa de privacidade comece a partir de metas básicas e factíveis de serem alcançadas, a partir do mínimo exigido pela LGPD. Com a progressiva evolução do programa de privacidade, metas mais desafiadoras podem ser adotadas.
Criar indicadores repetíveis: as métricas devem permitir análise comparativa em relação ao último período avaliado, sendo necessário que possuam capacidade de repetição. Abandone indicadores pontuais (exemplo: implementar política de compliance em proteção de dados) e define critérios reproduzíveis (exemplo: alcançar 70% de satisfação dos titulares de dados atendidos).
Garantir adesão dos indicadores ao modelo de negócio: não existe padrão de indicadores que possa servir a todo tipo de empresa. As métricas devem levar em consideração as características do negócio (exemplos: empresas com atendimento direto ao público - como o setor varejo - devem focar em indicadores que possam medir a satisfação desses consumidores, já empresas que não possuem este tipo de relacionamento direto - como empresas de logística - devem priorizar indicadores que visam avaliar o nível de maturidade de seus parceiros de negócio e prestadores de serviço). Em síntese, as métricas devem priorizar os maiores riscos de privacidade que a empresa possui, o que varia muito de acordo com seu modelo de negócio.
Definir adequadamente o público-alvo: definir métricas não significa contar com conjunto único de indicadores, mas sim parâmetros que quantifiquem os principais interesses de cada público-alvo (interno e externo). Exemplo: aos diretores da empresa, pode ser relevante demonstrar métricas que quantificam o retorno dos investimentos realizados no programa; já às autoridades competentes, pertinente apresentar a quantidade de análises de risco de privacidade conduzidas ou o índice de satisfação dos titulares de dados atendidos.
Estabelecer papéis e responsabilidades: uma vez definidas as métricas, torna-se imprescindível definir quem será o responsável por executar e monitorar cada indicador definido, garantindo reporte da eficácia destes critérios ou eventual indicação de alterações para assegurar aderência destes às necessidades da empresa.
Atribuir visibilidade aos resultados: para facilitar a ampla adesão da empresa às metas estabelecidas, é imprescindível assegurar transparência dos ganhos obtidos a partir da medição dos indicadores estabelecidos. Tal medida contribuirá para que o programa de privacidade ganhe a relevância que merece junto a outros departamentos e setores que não apenas àquele imediatamente responsável pelo assunto.
Por fim, deve-se ter em mente que definir métricas e metas é apenas o início da jornada. A verificação de efetividade demanda monitoramento ativo, investimentos de tempo e recursos, conscientização e, principalmente, constante atualização para que, por meio evolução das métricas e das metas, os programas de privacidade ganhem maturidade ano após ano, uma vez que o nível de exigência de consumidores, reguladores, autoridades e mercado em geral em matéria de privacidade será cada vez maior.
*Pedro Nachbar Sanches, advogado do escritório Prado Vidigal Advogados, especialista em direito digital, privacidade e proteção de dados
*Luis Fernando Prado, sócio fundador do escritório Prado Vidigal Advogados, especialista em direito digital, privacidade e proteção de dados
