Levar uma empresa do estado de "não adequação" para o de "adequação" à LGPD é um processo complexo, que leva bons meses até sua conclusão.
Esse processo não tem um único método ou sequência de etapas - mas todas elas, no final das contas, passam pelos mesmos desafios e atividades.
E o primeiro desafio é: conhecer a empresa.
O consultor, para identificar as inconformidades e corrigi-las, precisa conhecer o funcionamento da empresa, os riscos do negócio e a importância (ou não) de cada dado pessoal coletado.
Como obter isso? Através de entrevistas e conversas com os funcionários e gestores que executam essas tarefas.
Para que essas entrevistas sejam eficientes, o consultor não pode ser estritamente genérico. Perguntar "quais dados pessoais são tratados nesse setor?" pode não ser suficiente para obter todas as informações sobre os tratamentos realizados.
É muito provável que os entrevistados não estejam familiarizados com os termos da LGPD ou mesmo não percebam que determinadas atividades que ocorrem em seu setor sejam consideradas como tratamento de dados pessoais.
A melhor maneira de conduzir essas entrevistas é perguntando sobre o dia-a-dia do entrevistado: o que ele faz, como (e quais) informações chegam até ele, quais sistemas ele utiliza, se ele segue alguma instrução ou recomendação de segurança da informação e assim por diante. Isso irá proporcionar compreensão ao consultor sobre os possíveis tratamentos de dados pessoais que ocorrem naquele setor, e, consequentemente, um mapeamento mais preciso.
Entrevistas bem conduzidas são o segredo para o entendimento completo das atividades da empresa, e aumentam a probabilidade de detecção de inconformidades.