Para muitas corporações, a vigência da LGPD pode incomodar em variáveis graus, que podem ser comparáveis no mínimo a um pedrisco no sapato, e no limite até a uma nevralgia. Em qualquer desses graus, é um problema que precisa de ação urgente por várias razões.
A
primeira delas é porque de fato a lei é benéfica e muito importante, tanto para
a nossa proteção como cidadãos, quanto para melhorar a conduta das nossas
empresas. Por isso mesmo, não devemos perder tempo e rapidamente devemos nos
adequar. Contudo, dependendo do trajeto escolhido, alcançar esse objetivo pode
consumir muito tempo.
Repetindo:
pode consumir muito tempo. Ou não.
A
ocorrência de qualquer das hipóteses dependerá tanto da experiência do time que
guiará a empresa nesse trajeto quanto dos métodos que esse time utilizará. Quem
está no mercado sabe que nos projetos de adequação à LGPD as abordagens mais
utilizadas estão baseadas em diagnósticos longos, com o envio de questionários
frios e em geral ineficientes. Na verdade, eles fazem parte de uma sequência de
ações que não deflagram o processo mais fundamental para a adequação da empresa
à lei, que é a transformação cultural dos colaboradores.
Engana-se
quem acha que essa transformação da cultura dos colaboradores, assim como dos
processos e sistemas da empresa para adequação às exigências da lei, seja de
responsabilidade do jurídico ou da área de TI. O que elas devem fazer é dar
apoio às áreas de negócios, as verdadeiras responsáveis por essas
transformações.
A
primeira das transformações, e que traz benefícios a todas as áreas, é de fato
não se perder tempo, adotando, para começar, uma postura ágil. Neste caso, essa
postura significa o “fatiamento” da empresa em áreas organizacionais e
elaboração de todo o ciclo, do diagnóstico à recomendação, em “sprints” com a
duração de uma, até no máximo duas semanas, ao contrário das abordagens
tradicionais, que consomem de dois a três meses (e transformam o projeto de
adequação à LGPD no transporte de um piano de cauda). Essa nova dinâmica
integra ao projeto os profissionais da área de negócios, aproxima e sensibiliza
os usuários, e também antecipa as ações de correção.
É
uma prática que tem se mostrado muito efetiva na gestão da mudança, já que os
colaboradores aprendem sobre a LGPD em reuniões de trabalho e nas discussões
sobre a aplicação da lei à sua realidade de negócios – e não em treinamentos
‘passivos’ e monstruosamente ineficientes sobre os conceitos da lei.
Para
favorecer esse aprendizado e ganhar tempo, é preciso fugir tanto do
“juridiquês” quanto dos jargões de TI, já que as conversas entre as áreas serão
povoadas de expressões e termos do dia-a-dia da empresa. O melhor será manter
um vocabulário acessível e de negócios, traduzindo as leis e suas demandas para
situações do cotidiano.
Outra
estratégia vitoriosa da nossa abordagem é identificar todas as “personas” que
têm dados transitando pelas áreas de negócios. Explicando melhor: por meio de
entrevistas, identifica-se todos os tipos de pessoas físicas cujos dados de
alguma forma são capturados pela empresa. Ao agrupá-los, damos a eles o nome de
“personas”. Por exemplo: colaborador, prestador de serviços de transportes,
freelancer, cliente, prospect, contato de empresa cliente, contato de
fornecedor e assim por diante.
Mapeadas
as “personas”, fica muito mais fácil também entender e mapear quais os dados
capturados pela empresa, a base legal de apoio para essa captura, onde eles
estão armazenados e sua jornada nos processos dentro da empresa. Só então se
pode começar a falar de sistemas e de tecnologia.
Toda
essa compreensão é que permitirá a elaboração de recomendações. Nesse
intervalo, provavelmente a equipe ainda estará com os conceitos bem nítidos na
memória e com alto nível de energia para trabalhar no projeto – o que não é
esperado em soluções que demoram muito na fase de diagnóstico.
Claro
que é importante abordar segurança da informação e cibersegurança. Embora esses
temas não possam ser negligenciados, essa análise deve ser feita por uma frente
de trabalho separada e focada nos executivos de TI. Não existe compliance com a
LGPD sem uma proteção de perímetro, isto é, sem segurança da informação,
proteção a servidores, dispositivos móveis e sistemas contra ameaças que põem
em risco as informações processadas, armazenadas e transportadas por esses sistemas,
ou seja, cibersegurança.
Como
a lei determina que os sistemas devem estar “de acordo com as boas práticas” de
tecnologia da informação, o diagnóstico durante os sprints poderá apontar a
necessidade de outros projetos, eventualmente maiores, como a
substituição completa de sistemas, que demandarão mais investimentos e outros
prazos de implantação. Antes disso, porém, é provável que a grande maioria
das oportunidades de mitigação de problemas seja obtida com pequenas
mudanças de procedimentos ou revisões de contratos e políticas simples, e que
poderão ser implementadas logo nas semanas seguintes ao sprint, permitindo que
a empresa dê um salto em direção à adequação e evitando autuações.
Arlete
Nascimento - consultora sênior da TGT Consult e DPO, e Omar Tabach, sócio da
TGT Consult
Nenhum comentário:
Postar um comentário