Não perca tempo com a LGPD, a Lei Geral de Proteção de Dados…

1

Para muitas corporações, a vigência da LGPD pode incomodar em variáveis graus, que podem ser comparáveis no mínimo a um pedrisco no sapato, e no limite até a uma nevralgia. Em qualquer desses graus, é um problema que precisa de ação  urgente por várias razões.

A primeira delas é porque de fato a lei é benéfica e muito importante, tanto para a nossa proteção como cidadãos, quanto para melhorar a conduta das nossas empresas. Por isso mesmo, não devemos perder tempo e rapidamente devemos nos adequar. Contudo, dependendo do trajeto escolhido, alcançar esse objetivo pode consumir muito tempo.

Repetindo: pode consumir muito tempo. Ou não.

A ocorrência de qualquer das hipóteses dependerá tanto da experiência do time que guiará a empresa nesse trajeto quanto dos métodos que esse time utilizará. Quem está no mercado sabe que nos projetos de adequação à LGPD as abordagens mais utilizadas estão baseadas  em diagnósticos longos, com o envio de questionários frios e em geral ineficientes. Na verdade, eles fazem parte de uma sequência de ações que não deflagram o processo mais fundamental para a adequação da empresa à lei, que é a transformação cultural dos colaboradores.

Engana-se quem acha que essa transformação da cultura dos colaboradores, assim como dos processos e sistemas da empresa para adequação às exigências da lei, seja de responsabilidade do jurídico ou da área de TI. O que elas devem fazer é dar apoio às áreas de negócios, as verdadeiras responsáveis por essas transformações.

A primeira das transformações, e que traz benefícios a todas as áreas, é de fato não se perder tempo, adotando, para começar, uma postura ágil. Neste caso, essa postura significa o "fatiamento" da empresa em áreas organizacionais e elaboração de todo o ciclo, do diagnóstico à recomendação, em "sprints" com a duração de uma, até no máximo duas semanas, ao contrário das abordagens tradicionais, que consomem de dois a três meses (e transformam o projeto de adequação à LGPD no transporte de um piano de cauda). Essa nova dinâmica integra ao projeto os profissionais da área de negócios, aproxima e sensibiliza os usuários,  e também antecipa as ações de correção.

É uma prática que tem se mostrado muito efetiva na gestão da mudança, já que os colaboradores aprendem sobre a LGPD em reuniões de trabalho e nas discussões sobre a aplicação da lei à sua realidade de negócios – e não em treinamentos 'passivos' e monstruosamente ineficientes sobre os conceitos da lei.

Para favorecer esse aprendizado e ganhar tempo, é preciso fugir tanto do "juridiquês" quanto dos jargões de TI, já que as conversas entre as áreas serão povoadas de expressões e termos do dia-a-dia da empresa. O melhor será manter um vocabulário acessível e de negócios, traduzindo as leis e suas demandas para situações do cotidiano.

Outra estratégia vitoriosa da nossa abordagem é identificar todas as "personas" que têm dados transitando pelas áreas de negócios. Explicando melhor: por meio de entrevistas, identifica-se todos os tipos de pessoas físicas cujos dados de alguma forma são capturados pela empresa. Ao agrupá-los, damos a eles o nome de "personas". Por exemplo: colaborador, prestador de serviços de transportes, freelancer, cliente, prospect, contato de empresa cliente, contato de fornecedor e assim por diante.

Mapeadas as "personas", fica muito mais fácil também entender e mapear quais os dados capturados pela empresa, a base legal de apoio para essa captura, onde eles estão armazenados e sua jornada nos processos dentro da empresa. Só então se pode começar a falar de sistemas e de tecnologia.

Toda essa compreensão é que permitirá a elaboração de recomendações. Nesse intervalo, provavelmente a equipe ainda estará com os conceitos bem nítidos na memória e com alto nível de energia para trabalhar no projeto – o que não é esperado em soluções que demoram muito na fase de diagnóstico.

Claro que é importante abordar segurança da informação e cibersegurança. Embora esses temas não possam ser negligenciados, essa análise deve ser feita por uma frente de trabalho separada e focada nos executivos de TI. Não existe compliance com a LGPD sem uma proteção de perímetro, isto é, sem segurança da informação, proteção a servidores, dispositivos móveis e sistemas contra ameaças que põem em risco as informações processadas, armazenadas e transportadas por esses sistemas, ou seja, cibersegurança.

Como a lei determina que os sistemas devem estar "de acordo com as boas práticas" de tecnologia da informação, o diagnóstico durante os sprints poderá apontar a necessidade de outros projetos, eventualmente maiores, como a substituição completa de sistemas, que demandarão mais investimentos e outros prazos de implantação. Antes disso, porém, é provável que a grande maioria das  oportunidades de mitigação de problemas seja obtida com pequenas mudanças de procedimentos ou revisões de contratos e políticas simples, e que poderão ser implementadas logo nas semanas seguintes ao sprint, permitindo que a empresa dê um salto em direção à adequação e evitando autuações.

Arlete Nascimento, consultora sênior da TGT Consult e DPO, e Omar Tabach, sócio da TGT Consult.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.