• Você está aqui:  
  • Home
  • Artigos
  • 11 razões porque sua organização irá falhar na adequação a LGPD

11 razões porque sua organização irá falhar na adequação a LGPD

Detalhes
Categoria: Artigos
Criado: Segunda, 16 Setembro 2019 12:38
Escrito por Reges Bronzatti

Em primeiro lugar, quero deixar bem claro que não quero que nenhuma organização falhe em uma adequação legal.

Muito pelo contrário ! Trabalho e me esforço para dar o melhor no apoio e facilitação ao processo, mas confesso que de tanto ver e ouvir situações anômalas e contraditórias, resolvi escrever e compartilhar percepções de equívocos e duvidosas interpretações para que outros profissionais possam antever e se precaverem quanto a esta lista, quase “infinita”, de possibilidades de insucesso na jornada de adequação à LGPD ( Lei Geral de proteção de dados).

Se quiser ouvir este artigo, em formato de podcast, entre no link abaixo:

Podcast

A provocação dos tópicos abaixo, traz um pouco de bom humor e pitadas de ironia, apenas para melhor ilustrar os “cases” já vividos e percebidos da vida real. Mesmo que pareça negativo, a intenção é positiva e sugere um aprendizado contínuo sobre o tema para que não nos utilizemos de desculpas posteriores e terceirização da responsabilidade quando nos perguntarem porque nossa organização foi multada, processada pelos clientes ou porque tivemos um vazamento de dados na internet.

O problema é nosso, como profissionais ! Não é da TI, do jurídico ou do RH; Não se terceiriza a nossa responsabilidade para uma área ou setor da organização. Jamais !

Qualquer coincidência com a sua organização será apenas uma mera coincidência. A lista é quase um guia de “COMO NÃO FAZER”. Aproveite o tema e contribua com a sua visão ao final dele:

$1·         Sua organização vai falhar porque não sabe do que se trata a LGPD. Gestores, de alto escalão, que deveriam ser os primeiros a se responsabilizarem sobre o tema criam, um mix de confusões com dados de pessoas naturais com dados de pessoas jurídica, dizendo que isso não se aplica a “nossa empresa”. Terceirizam o assunto para a TI ou para seu jurídico e se descomprometem da essência e do impacto que esta lei pode gerar para o seu negócio. Aliás, alguns de maneira debochada, ainda bem que são poucos, fazem um mix discriminatório e vexatório entre as siglas LGPD x LGBT. Triste, para não dizer outra coisa !

  1.  

$1·         Sua organização vai falhar porque acredita que a LGPD “não vai pegar” no Brasil. É comum, por conta das experiências com o “E-social” e pela quantidade vultuosa de investimentos a serem feitos em consultorias, softwares de segurança, sistemas de backup, mudanças de processos, que alguns gestores estejam lutando contra tudo isso e pressionando para que a vigência da lei seja postergada de forma definitiva. Devem pensar que “segurança da informação é bom para outros, não para a minha empresa” e se “isso vai dificultar a forma como trabalho, então sou contra!”. Um grande parte das organizações não vêem isso como uma oportunidade de diferenciação, apenas como mais uma lei sobre compliance para “inglês ver”. Falta um pouco de sabedoria para visualizar oportunidades e não problemas.

  1.  

$1·         Sua organização vai falhar no prazo de início das discussões internas sobre o tema. Como a alta gestão não se conecta ao tema por considera-lo árido e distante do seu dia a dia, as estruturas internas, apesarem de entenderem a dificuldade da jornada, não tomam nenhuma iniciativa de sensibilização para não assumirem o risco de se tornarem a protagonista do “suposto projeto de LGPD”, já que todos já estão sobrecarregados com tarefas cotidianas. Melhor deixar para que alguém assuma ou lidere isso, pois tenho mais coisas para fazer e isso não é prioridade agora. Dá para esperar até 2020. Cuidado para que a sua organização não fique “na mão” de consultorias externas. O problema é da organização, não é da consultoria externa. Pensem bem no time interdisciplinar que vai compor o grupo de trabalho inicial ou comitê de mudanças. É uma etapa importante da viagem ! Retardar o processo interno de discussão sobre qual a melhor estratégia de avanço, só gerará mais stress e ansiedade quando o ano de 2020 virar.

  1.  

$1·         Sua organização vai falhar na escolha das pessoas para liderar a jornada. Uma vez decidido que devemos implementar a LGPD, a chance de escolhermos entre a TI ou o jurídico para protagonizar esta adequação é de quase 90%. Mais um erro de gestão ! Feito isso, a jornada se tornou de uma área e não mais da organização. As demais áreas, se não tiverem um fio condutor que as une em torno do mesmo propósito, serão as primeiras a sabotar o grupo encarregado de liderar o processo. Aqui a organização vai começar a entender a famosa frase do Peter Drucker: “A cultura come a estratégia no café da manhã!”. A escolha, a postura e o perfil da liderança que deverá engajar a organização é fundamental para que o processo ande, caso contrário, os conflitos internos serão demasiadamente catastróficos para o sucesso da jornada. Isso independente da sua empresa ter contratado consultorias a peso de ouro. Nenhuma consultoria de LGPD consegue, hoje, ser maior e mais forte que a cultura sem o apoio e adesão interna. “Believe me ! It´s true !”. Por favor, não sacrifiquem o futuro DPO ( Data Protection Office) como o líder para tudo. Ele sozinho não conduz a corporação na direção na adequação. É necessário o ambiente para a sua sustentação e evolução. Se o deixarem sozinho, a frente de tudo e de todos, ele será devorado, como um ovelha por uma alcatéia de lobos. Raríssima chance de sobrevivência !

  1.  

$1·         Sua organização vai falhar no enfoque interno que será dado a LGPD. Um plano inicial de adequação à LGPD pode ter diferentes enfoques e pesos. O cuidado primordial é não inclinar demais para uma determinada abordagem. É essencial o equilíbrio e o diagnóstico inicial do grau de maturidade sobre o tema. Sua organização pode querer inclinar demais para o lado jurídico e dar ênfase exagerada na questão de contratos, termos de consentimento e interpretação da lei em detrimento ao lado tecnológico que exige investimentos em adequação de sistemas, banco de dados, aquisição de ferramentas de segurança, customização de aplicações, criptografia, entre tantas outras possíveis ações. E não podemos esquecer das áreas de de negócio, tais como comercial ou marketing que possuem “poderes” extraordinários de convencimento do alto escalão que certas mudanças de processos sugeridas atrapalharão as vendas e tudo pode voltar a estaca zero. A jornada é longa, não tenho a menor dúvida disso ! O sucesso da caminhada está em manter a constância para não sair da estrada e perder o “timing” correto das ações necessárias. Voltamos ao ponto da liderança: organizações com líderes fracos para este tema, tendem a aumentarem custos, errar além da necessidade e reduzirem o ritmo da progressão. #ficaadica: Diálogo e comunicação constantes são a essência de uma boa convivência e avanço consistente na caminhada.

  1.  

$1·         Sua organização vai falhar porque contratou um software “MEGA ULTRA POWER”. Angular o processo de adequação da LGPD a compra de um software que resolva seus problemas de processos e pessoas é simplificar demais a complexidade do seu próprio negócio. Não há dúvidas que existem muitas tecnologias de altíssima qualidade para ajudar no diagnóstico, no inventário e classificação de dados, mas não se deposita o sucesso de uma implantação de um bom ERP, por exemplo, somente pela marca que ele representa. Projetos de TI são considerados de sucesso quando você reune alguns elementos chaves: pessoas engajadas e qualificadas, tecnologia fácil de ser customizada ao modelo de qualquer negócio ( e não o contrário como muitos defendem), processos documentados e que realmente refletem como as “coisas” funcionam nas ações cotidianas e escopo com objetivos claros das várias etapas da viagem. Sem isso, o fracasso de investimentos vultuosos é quase inevitável. Não aposte somente na tecnologia. Ela pode ser excelente, mas na empresa e no momento errado!

  1.  

$1·         Sua organização vai falhar porque contratou uma consultoria “master das galáxias”. Vejo que algumas consultorias jurídicas, inclusive de escritórios renomados no país, nasceram para o direito aplicado a tecnologia apenas últimos 12 meses, em função da oportunidade de comercializarem serviços consultivos em função da LGPD. Se por um lado isso é ótimo para a sociedade, ter opções e concorrência no mercado, tenho minhas restrições a tudo que é feito em excesso. Tenho a impressão de que jamais tinha visto tanto advogado/consultores especializados em direito e tecnologia fazendo publicidade paga nas redes sociais! Nada contra o currículo e especialização de grandes profissionais, mas certificações ( assim como na área de TI), por si só não garantem qualidade de entrega, mas nos dão a leveza de pular etapas no processo de escolha e garantem um conforto cognitivo se tudo der errado. Eu posso culpar alguém que tem certificação !! O medo de errar, no processo de adequação à LGPD, torna sua organização um alvo certo das grandes marcas, assim como na seleção de uma tecnologia. Como ser criticado se o “projeto” naufragou, se escolhemos o melhor escritório ou o advogado mais famoso, mais certificado ou a tecnologia mais premiada? É nesta hora em que a terceirização da responsabilidade acontece. A organização jamais vai admitir que fez escolhas equivocadas, sem critérios ou que o seu processo de escolha foi mal conduzido quando algo não sair a contento. Isso ficará embaixo do tapete após agosto de 2020. Se errar é humano, colocar a culpa em algo ou alguém é ainda mais contemporâneo em organizações onde fracassar não é possível. A cultura do medo, na gestão, é mais forte, do que a paciência e a estratégia de buscar um melhor resultado para si próprio.

  2.  

$1·         Sua organização vai falhar porque pensa que adequar LGPD é um projeto. Se quiser saber mais sobre este tópico, lei este outro artigo que escrevi há alguma semanas atrás: Ler artigo sobre a jornada da LGPD. LGPD não é um projeto...é uma jornada ! Existe um começo, mas não um fim em si mesma. Nenhuma organização acorda um dia de manhã e diz: “ agora que o projeto de adequação a LGPD está concluído, não vou mais precisar me preocupar com a segurança dos dados”. É algo contínuo, perene e fará parte da organização enquanto ela existir. Então é melhor trabalhar muito a cultura da organização sobre tema segurança da informação, muito mais do que conhecimento técnico ou jurídico, se a sua organização desejar ter um sucesso mais acelerado neste processo. Caso contrário, os conflitos técnicos, de gestão e culturais irão realmente sabotar a corporação.

$1·         Sua organização vai falhar porque pensa que não há risco algum, já que não vende e não compartilha dados pessoais. Esta interpretação equivocada pode ser a que mais custará a organização ao longo do tempo. A comercialização ou compartilhamento de dados pessoais é potencialmente muito menos arriscada do que subestimar um incidente de segurança que gere um vazamento de dados de um base de clientes, por exemplo, que está intimamente ligada ao despreparo do corpo funcional e insuficiência técnica de medidas de segurança da informação, por baixo investimento ou por total ausência de “mindset” protetivo ou legal. Por exemplo, é muito comum que as organizações acreditem, piamente, que um email corporativo não é dado pessoal. Segundo alguns teóricos de plantão, email corporativo é da empresa e por isso não é dado pessoal ( “Save me!”). Humildade e canja de galinha não fazem mal a ninguém nesta hora !

  1.  

$1·         Sua organização vai falhar porque subestima o esforço necessário para a completa adequação à LGPD. Não, definitivamente, para a grande maioria dos negócios, a adequação a LGPD não é uma atividade corriqueira. Se os acionistas soubessem como as tabelas das bases de dados dos seus cadastros de clientes estão e como se relacionam com outras bases de dados, como transações comerciais, marketing, jurídico, rh, etc ficariam realmente preocupados no tamanho do impacto econômico para o completo ajustes, classificação e normalização destas bases. Imagine o trabalho da arquitetura de sistemas em separar campos de dados sensíveis de um lado e campos de dados pessoais de outro, sem afetar a integridade das informações já presentes? Em alguns casos, estamos falando de reescrever um projeto de ERP inteiro ! Em alguns casos, estamos falando de anos para ajustes completos que permitam que uma simples solicitação de revogação de consentimento de um cliente, em um site de e-commerce, seja realizada com segurança e integridade nas bases de dados já existentes e que constituem o legado da organização. Só neste exemplo anterior demonstra o quanto a jornada é longa e quanto a organização deve ter clara a sua matriz de riscos para que possa evoluir de acordo com o seu grau de aceleração.

  1.  

$1·         Sua organização vai falhar porque não prestou atenção aos detalhes ( legais ou técnicos). Esta não é uma lei que realmente o universo de juristas, advogados, doutrinadores domine, na sua totalidade, com plena certeza. Esta não é uma lei que a área de TI tenha plena capacidade de compreende-la por inteiro. Esta é uma lei que precisa integrar múltiplos conhecimentos e perfis para a sua correta interpretação e aplicação no dia a dia. Uma simples dúvida no papel exercido entre controlador e operador de dados pode resultar em lítigio e responsabilidades legais de alto vulto. É fundamental que advogados, consultores, internos e externos, lideres de áreas de negócio, analistas de segurança da informação, administradores de bases de dados e encarregado de dados trabalhem de forma harmoniosa e unificada para discutirem os detalhes e as melhores alternativas que amenizem os riscos que esta nova lei traz a um negócio, seja ele privado ou público. Precisamos evitar frases soltas, jogadas ao vento, que afirmam “que o meu negócio é todo B2B, não serei afetado” ou que “já tenho certificação ISO27001 e estou tranquilo”. Definitivamente, não se sinta tranquilo quando o assunto da sua organização for a de proteger informações. Sua organização vai se surpreender, ao longo do tempo, que o seu pior pesadelo é interno e não externo.

Embora não haja o melhor método para esta implementação ou adequação a LGPD, existem muitas receitas distintas e que levam a saborearmos uma doce sobremesa, mas os ingredientes já estão postos a mesa. Pouco se pode alterar, até que venham novas regulamentações da lei sancionada pela ANPD ( Autoridade Nacional de Proteção de Dados). A lista de possíveis falhas ou inconsistências acima não é taxativa, é exemplificativa. Portanto pode variar, na intensidade, de acordo com a percepção de cada um.

Tenho certeza que cada um de vocês que está lendo este artigo agora lembrou de mais algumas. Cite-a nos comentários abaixo. Tenho plena certeza que este formato colaborativo de evidenciar fatos, ações ou omissões neste processo pode e deve ajudar muitos outros profissionais que estão vivendo, neste momento, algumas destas dores.

Se quiser ouvir este artigo, em formato de podcast, entre no link abaixo:

Podcast

Até o próximo artigo e bons negócios a todos !