• Você está aqui:  
  • Home
  • Artigos
  • As três(3) formas práticas de implementação da LGPD

As três(3) formas práticas de implementação da LGPD

Detalhes
Categoria: Artigos
Criado: Sábado, 08 Agosto 2020 15:56
Escrito por Reges Bronzatti

Provocativamente, em muitas reuniões preliminares de negociações sobre implementações de LGPD, com futuros clientes, ouço perguntas do interlocutor principal, buscando uma bala de prata, como esta:

- Mas como voçê implementa a LGPD?

Respondo sempre da mesma maneira para todos. Sejam pessoas da alta gestão ou colegas da área de TI ou do Jurídico:

- Eu não implemento ! Feliz ou infelizmente, não sou um salvador da pátria. A implementação, na prática, é realizada pela sua própria organização. Não trago um exército para fazê-lo. O time para executá-lo já foi contratado e está dentro da sua própria casa. Ajudo, apoio, oriento, aconselho mas quem executa e decide se vai mudar modelo de gestão e processos de negócios quanto a privacidade e proteção de dados serão os colaboradores da própria organização, por mais incrível que esta exposição possa parecer.

Na maior parte das vezes, a partir de então, já menos incisivos no debate, surge alguma luz no fim do túnel, durante o bate papo. Para alguns é necessário reforçar os comos, os porquês, etc. Mas a partir de tantos momentos repetidos e automatizados como este, percebi que existe um dilema sério nas organizações quando buscam apoio na tal LGPD( Lei Geral de Proteção de Dados Pessoais).

Há, claramente, na minha percepção três(3) estratégias distintas de execução e contratação desta jornada de adequação.

A primeira, e a mais óbvia, é onde estão posicionadas a grande maioria das consultorias em LGPD, e provavelmente é o formato de contratação preferido das empresas brasileiras. Neste modelo, o contratante terceiriza tudo a uma entidade externa que executa desde o diagnóstico, mapeamento de processos, entrevistas, cria matriz de riscos, desenha um plano de execução, propõe mudanças e coloca sim um exército de profissionais dentro do cliente ( alguns, é verdade, são estagiários, mas isso o cliente não percebe na contratação), cobra muito bem e como em um projeto tradicional, de início, meio e fim desaparece em um piscar de olhos depois do pagamento da última fatura. Provavelmente executa em um formato bem mais rápido do que a segunda opção que explico abaixo.

Resta a pergunta: O cliente, mesmo pagando muito caro, agora está pronto para enfrentar a ANPD e 100% adequado e em conformidade, certo ?

Não necessariamente! Vejamos: Este formato acima tende a atender a lei, cria uma grande onda de ação ( para não dizer marola), dentro da organização, mas na sequência corre um risco enorme de tudo desaparecer e cair no esquecimento se as pessoas internas não se envolverem com o prestador de serviços durante o processo. Neste formato, invariavelmente, não há, na maior parte das implementações, um engajamento da própria corporação, da cultura e das mudanças que deverão ser compreendidas, aprimoradas e modificadas logo em seguida. Corre-se o risco de criar um programa de privacidade de dados que não funciona para a contratante, pois o modelo sugerido não é customizado para a cultura desta. Isso porquê a LGPD é um modelo de gestão vivo e que se modificará, exatamente, na mesma velocidade com que os processos de negócios são alterados no dia a dia para vencer a concorrência ou para o lançamento de um novo produto, serviço ou negócio.

O segundo formato de contratação não terceiriza nenhuma responsabilidade e traz para dentro do time interno a execução integral das principais etapas de adequação. A partir de um grupo multidisciplinar ( RH, Marketing, Vendas, Compliance, Jurídico, Ti, Alta Gestão entre outros) estes criarão e desenvolverão o plano de ação, cronograma, diagnóstico, mapeamento de processos, indicadores de performance, privacy by design em seus produtos e serviços e responsabilizarão todos os seus colaboradores a manterem uma cultura viva de privacidade.

Isso porque já sabem que não existe nenhuma certificação em LGPD que garanta que a empresa agora está segura e protegida por um incidente ou denúncia à ANPD ( Autoridade Nacional de Proteção de Dados). As organizações, que buscam este modelo de execução, anseiam incutir, no seu dia a dia, o aprofundamento do programa de privacidade e proteção de dados pessoais, querem aprender como fazer e manter, certamente, isso durante muito tempo dentro dos processos de negócios. Todos os dias são dias de pensar em segurança e privacidade para estas empresas. Todos os dias são dias de correr mais do que o Leão para este modelo de execução.

Este segundo formato garante a adequação integral da companhia? Não necessariamente! Ele corre um risco sério de se perder na execução ou de postergar ações simples, estendendo-se em demasia, pelo cansaço, pelas discussões intermináveis sobre mudanças, pelos conflitos entre as áreas, pelas guerras de quem vai comandar o processo e assim desmotivar integrantes do comitê e desmoronar internamente toda a estrutura de execução se não houver uma liderança FORTE e COLABORATIVA.

Lembrando de que se o tema for executado 100% com recursos internos, a produtividade daquilo que se fazia anteriormente pode cair consideravelmente. Talvez esta seja, o principal critério das organizações tenderem a sempre desejarem terceirizar todo o processo com uma consultoria externa. O medo da roda dos negócios pararem de girar, em tempos de crise, por exemplo, é maior do que qualquer jornada LGPD. Compreensível de certa forma, mas apenas lembrando que a LGPD é uma lei de 2018 que só não entrou em vigor ainda pois houve a sensibilidade dos legisladores de que as mudanças seriam muitos duras, profundas e que haveria a necessidade de um prazo grande, para não dizer gigantesco, de adequação e ajustes nos processos de negócios de todas as organizações brasileiras.

Isso é um dos grandes dilemas da LGPD (não o único, mas um dos mais importantes).

Devo terceirizar a execução da jornada LGPD ou fazer dentro de casa?

Há, na minha opinião, ainda uma terceira via possível.

Esta terceira forma é uma proposta híbrida de adequação das duas anteriores. E que defendo e pratico. É quando uma organização, por não ter conhecimento suficiente dentro de casa e nem tempo de formar um time especialista, busca agilidade e velocidade com uma (ou mais) consultoria(s) ou mentoria(s) externas. O objetivo é encontrar alguém que conduza seus passos, acelere etapas, traga ferramentas, conhecimento, liderança, experiência de casos anteriores e habilidade de como contornar obstáculos inerentes ao processo. Que traga modelos de documentos, padrões e método de execução que não seja integralmente imposto, mas que permita que a empresa se adapte, com a sua cultura própria a esta nova lei.

A agilidade neste formato, se dará, copiando um pouco da segunda opção, com o engajamento e conexão com as áreas de negócios ( que é onde a empresa viva acontece realmente) identificando seus principais processos, riscos e melhorias para aprovação do comitê multidisciplinar da própria organização. Aqui o consultor externo ou mentor é um líder que não deixa a peteca cair, cobra ações do time interno, orienta, motiva, cobra e retira do time quem não está adequado para enfrentar o desafio.

Sim, há vantagens e desvantagens em todas as opções descritas.

Se vislumbramos custos, como uma das variáveis a serem ponderadas, nitidamente, a contratação híbrida é a mais econômica, pois reduz o tempo de equipe interna em trabalhos de adequação improdutivas ( sim, as horas de quem já é contratado pela empresa custam e muito dinheiro se forem desperdiçadas com debates supérfluos) e, em troca, entrega conhecimento e experiência para pessoas que nunca trabalharam com implementações da LGPD, atendendo, medianamente, o objetivo da organização se apropriar da cultura da privacidade e proteção de dados pessoais. O tempo aqui é melhor senhor da razão e da assimilação do conhecimento.

Se a vontade é ter a garantia de que a cultura organizacional irá realmente se empoderar do tema e manter o programa de privacidade de dados pessoais, vivo e atualizado, sem dúvida, a segunda opção, de fazer tudo em casa, seria a minha recomendação. Demora mais, mas ficará internalizado e com conhecimento de causa; Muitos cursos, muitos workshops, muitos conflitos internos, mas tem uma luz brilhante e permanente no final do túnel. Pode demorar um pouco mais, mas é know-how construído com a própria equipe interna.

Se desejarmos velocidade e reduzir ansiedade e medo, já que todos os prazos foram perdidos ( basta ver que a maioria das empresas brasileiras sequer começou a jornada LGPD), então a primeira opção, da consultoria externa integral, será a recomendada. Não há nenhuma dúvida sobre isso (apenas há que se ter um cuidado redobrado na negociação e contratação para não comprar gato por lebre). Poderá sim custar muito, em pouco espaço de tempo e o desembolso será dolorido, mas a lei, para um primeiro ciclo, deverá estar atendida minimamente até que um grande incidente aconteça na organização.

Se acontecer este incidente, teremos o momento de validar se o trabalho feito por um terceiro, de forma integral, estava adequada ou não. Se não estiver, é melhor preparar o bolso, pois a multa será bem maior, mas muito maior, do que o valor pago a esta consultoria externa. Podem apostar!

Enfim, as fichas estão lançadas. As estratégias postas. A lei (LGPD) entrará em vigor, em algum momento entre 2020 e 2021. Muitos líderes estão executando estas jornadas de adequação, outros lutando contra e alguns distantes do tema, por necessidade, já que precisam manter vivos o negócio (com ou sem LGPD) durante a pandemia.

Torço para que todos, independente do modelo que utilizarem em suas opções de execução da LGPD, sejam recompensados ao final com empresas mais seguras, mais modernas, mais sólidas e mais produtivas para que os resultados gerados permitam mais empregos, mais renda e mais comemoração a todos os seus colaboradores.

Só não gostaria de ver ou ouvir que nada foi feito, pois isso seria a antítese do parágrafo acima e seria desastroso para seus líderes e seus empreendimentos.

O tempo de mudar está passando...

Bons negócios a todos e até o próximo artigo !