Chegamos ao final de junho de 2019 e, com isso, completei 10 meses na liderança de um projeto de conformidade com a LGPD em uma grande organização, com vários tipos de operações de negócios. Como este é um bom momento para refletir sobre tudo o que aconteceu até agora, minha intenção é compartilhar com você os principais momentos vividos nesta jornada, tanto do que vivi, quanto do que amigos do mercado tem vivido e compartilhado.
Os primeiros momentos desta caminhada estavam repletos de incertezas, tanto do ponto de vista jurídico (era o mais comentado na época), quanto no ponto de vista organizacional (como enfrentar o desafio da conformidade). Das várias dúvidas que orbitavam em alta velocidade nossas mentes, uma delas era como organizar o projeto e uma outra era se precisávamos de ajuda ou não para levar o projeto para frente. Em outras palavras, como começar e se contrataremos ou não consultoria externa?
A primeira resposta foi discutida e construída sobre a mesa, onde entendemos que a conformidade com a LGPD não era um problema jurídico ou de TI, mas sim de toda a organização, principalmente do negócio (o principal afetado no final das contas). A partir deste entendimento fomos buscar o apoio imediato e incondicional dos líderes executivos (nosso conhecido Board), onde apresentamos os fatos, dados e compartilhamos ideias. Eles entenderam, se engajaram e, desde então, estão ao nosso lado diariamente. Hoje posso dizer com certeza que este é um dos principais fatores de sucesso até o momento.
A segunda resposta consumiu mais tempo, pois decidimos ouvir o que o mercado se propunha a fazer como consultoria e refletimos sobre nossas próprias capacidades (eu venho de empresas de consultoria, assim como outras pessoas que estão comigo no projeto). A decisão foi definir e executar o projeto internamente, uma vez que concluímos ter a experiência, metodologias de apoio e suporte necessário. Desenhamos a estratégia e estrutura do projeto, validamos com experiências da GDPR, através de conversas com DPOs europeus, e apresentamos ao Board em detalhes. Projeto aprovado, sinal verde. Eu pessoalmente já tive algumas oportunidades de interagir com o Board de várias empresas no Brasil, USA e Europa. Uma das lições que aprendi foi de ser claro, objetivo e olhar pelo negócio. Não foi diferente, partilha, escuta, alinhamento e perenidade da missão.
Aqui eu quero aproveitar para responder uma pergunta que apenas um amigo de mercado me fez:
Você usou alguma metodologia conhecida para estruturar/organizar o projeto?
Sim, usamos e ainda estamos utilizando. Não tinha motivo para reinventar a roda, pois era momento de usar as experiências de 20 anos de consultoria que carrego na bagagem e praticar o “reuso”. Você conhece ou lembra da NBR 15999, hoje ISO 22301? Isso mesmo, utilizamos a estrutura da Gestão de Continuidade de Negócios e adaptamos para a Gestão da Privacidade de Dados. Então nosso projeto responde a Proteção de Dados de uma maneira estruturada, processual, organizada em fases, papéis, responsabilidades, validações e uma estrutura cíclica (gestão da privacidade), uma vez que as áreas de negócio necessitam e precisam de flexibilidade para se adaptar rapidamente ao mercado. Em outro artigo que eu publiquei (Linkedin e www.iso27000.com.br) em janeiro de 2019, intitulado LGPD – Plano de trabalho na vida real, eu explico como dividimos o projeto em 6 fases (ou partes), que já refletiam a nossa abordagem: Mapear, Analisar, Definir Ações, Implementar, Gerenciar, entre outras etapas.
Uma vez que já tínhamos o projeto montado, definido e com o forte apoio executivo, chegou o momento de colocar tudo em prática. Neste momento tomamos mais uma decisão importante, dividir as atividades do projeto com todas as áreas da organização. Para fazer isso, nomeamos uma pessoa em cada área, desde as diretorias corporativas, até todas as unidades de negócio. Essa pessoa recebeu o papel de Líder de Privacidade de Dados Local (LPD). O papel do LPD é bem claro, ele é responsável pelo inventário do ciclo de vida dos dados pessoais, análise de gap, elaboração e acompanhamento dos planos de ações de proteção de dados e principalmente ser um embaixador do tema Privacidade dentro de sua área. Alguns amigos de mercado compararam os LPDs aos colaboradores Brigadistas, o que achei muito legal.
Essa estratégia deu muito certo, pois os LPDs navegaram pelos processos de negócio e identificaram com quais titulares sua área interagia, onde os dados pessoais e pessoais sensíveis nasciam (ou onde eram coletados), o que acontecia com estes dados, quais sistemas eram utilizados, em que momento as famigeradas planilhas eram criadas com os dados e quais os seus destinos. Em outras palavras, os LPDs descobriram e entenderam muitas coisas que uma abordagem tecnológica não consegue fazer. Além disso, durante as análises de gap, os LPDs contribuíram de maneira que as próprias áreas de negócio viram vantagens em seu papel. Aqui quero registrar novamente meu agradecimento a cada LPD que trabalha ou já trabalhou no nosso projeto!
Os principais achados que a nossa abordagem identificou não são diferentes do que toda organização no Brasil e no mundo tem. Além de tudo (processos, sistemas, controles) que funciona muito bem, temos também aquilo que precisa de ajustes, como: processos com baixa maturidade (sob o ponto de vista do CMMi) devido à grande volatilidade das operações de negócio em meio as transformações digitais, carência de informatização levando ao uso excessivo de planilhas eletrônicas, baixa cultura de segurança da informação, controles carentes de gerenciamento, atualização e novas políticas de escopo corporativo, e assim por diante. Não existe nada de novo aqui, você sabe disso, apenas reforço a coragem que tivemos de enfrentar os problemas de frente.
O ponto mais importante de todo o projeto é o Inventário de Dados, pois tudo o que estamos fazendo e faremos no futuro depende do que foi identificado, inventariado e avaliado. Como diz minha filha, #ficaadica.
Agora, com todas estas informações, conclusões e ações, estamos no momento de transformação da organização. As ações de melhorias e correções estão em andamento, cada LPD está acompanhando o que acontece em sua área e reportando para nossa equipe. As ações mais globais de tecnologia também estão em andamento e também sendo lideradas por nossa equipe. Por sinal, chegou o momento de falar da nossa equipe.
Começamos o projeto com pouco recurso (tanto financeiro como de pessoas). Os LPDs são colaboradores das áreas alocados entre 30% a 50% do tempo (esta alocação flutua muito devido ao tipo de atividade que está sendo realizada), no total são 20 LPDs. O líder do projeto (neste caso eu mesmo) era o único com 100% de alocação. Foi desta forma que começamos as atividades. Como o projeto começou a pegar ritmo e corpo, começamos as primeiras entregas, alocamos mais um recurso dedicado 100% do tempo e outro recurso alocado 40% do tempo para atuar junto ao Líder. Esse conjunto de pessoas que chamei de “nossa equipe” será o futuro DPMO (Data Privacy Management Office), ou escritório de privacidade, liderado pelo encarregado (DPO).
Novamente não vamos reinventar a roda, estamos seguindo o exemplo do PMO (Project Management Office), ou escritório de projetos. Vamos ter uma equipe dedicada ao futuro Programa de Gestão de Privacidade, que é o que o projeto se transformará ao seu final. Além disso, temos toda a estrutura da área jurídica, que possui papel estratégico no projeto e no futuro Programa. Contamos também com o apoio irrestrito da área de Segurança da Informação e da Área de Compliance, que também desempenham papel estratégico no projeto e no futuro Programa. Então, posso afirmar que no futuro (muito em breve) teremos um grupo de especialistas, das mais diversas áreas (Negócio, Segurança, Compliance, Jurídico, etc.) atuando de forma matricial para suportar o Programa de Gestão de Privacidade.
E os recursos financeiros? Quanto vai custar o projeto? Essas perguntas não são fáceis de responder no início do projeto (são muitas incertezas), mas no momento em que estamos já ficou claro o montante de investimento que será necessário. Essa referência infelizmente não posso compartilhar.
No meio de toda esta estrutura que é a Governança da Privacidade, temos a principal solução de tecnologia que suportará o dia a dia: o Portal de Privacidade. Esse portal, que está sendo desenhado e arquitetado, tem como principal papel ser a interface com nossos titulares. Para isso detalhamos todos os requisitos da Lei, principalmente os direitos dos titulares, e criamos os requisitos e casos de uso. O grande desafio por trás de tudo isso é a coleção de dados, sua estrutura, atualização e organização geral. Mas essa é uma parte da história que estamos vivendo agora, então existem várias coisas a serem feitas para termos certeza que nossas opções e decisões foram bem-feitas.
Junto com o Portal de Privacidade coexiste um outro tema considerado como um dos maiores fantasmas que todos imaginam que existe em um projeto de conformidade com a LGPD: o Consentimento. Se eu tivesse me preocupado com tudo que eu ouvi nos eventos e palestras de LGPD que tocaram ou deram ênfase no assunto consentimento, eu não estaria aqui escrevendo este texto, já teria enfartado.
Respeito muito as opiniões das pessoas e de especialistas, mas quando o assunto é LGPD, é tudo novo para todo mundo, ainda mais na tropicalização que fizemos da GDPR. Então teve muita gente que se apresentou como especialista em consentimento e LGPD, mas nunca se debruçou sobre os processos de negócio, atividades de processamento, contratos (com clientes, terceiros, fornecedores e tantos outros), detalhes da lei e o tão comentado “interesse legítimo”. Nem mesmo tinham feito um projeto de conformidade com a LGPD do início ao fim. Pareciam sessões de ocultismo, onde, no final, tudo acabava em fogo. Em algum momento eu estava prestes a pedir consentimento para poder abrir um documento de trabalho simples, loucura isso.
Mas também apareceram aqueles que estavam estudando com profundidade o tema, cenários e com o interesse de resolver os problemas de forma simples, direta e efetiva. Estes sim, posso dizer com tranquilidade, colaboraram de maneira significativa para nós. Pois bem, depois de navegar por centenas de processos, procedimentos, contratos e tantos outros detalhes, concluímos que o consentimento não é um bicho de 7 cabeças, nem mesmo um “fantasminha camarada”. O inventário e a análise de contratos nos deram uma visão ampla e clara do todo. Sim, teremos consentimento, mas na medida certa, adequada e não equivocada. Muito do que fazemos (todos nós de uma maneira geral) pode ser melhorado e mais bem definido nos contratos (estes sim merecem muita atenção). Este assunto também está sendo bem encaminhado, analisado e discutido sobre a mesa.
Por fim chegou a vez de falar da tecnologia. Sim, você vai ter que se preocupar muito com ela! Não pelo apelo dos produtos, mas sim pela agilidade, segurança, rastreabilidade e controle que precisamos ter para que o P da lei seja realmente de proteção e não de proibição. A tecnologia vai nos ajudar a proteger os dados em seus repositórios, delimitando e registrando os acessos, assegurando que o dado esteja devidamente protegido de vazamento. Além disso é preciso monitoração da privacidade, para que quando algo ocorra fora do normal, sua detecção seja rápida e inteligente. Anonimizar dados não é uma tarefa para estagiários, é muito séria e estratégica. Então será preciso uma boa solução que forneça agilidade, garantia e controle sobre anonimização.
Outro ponto importante, mas não só porque agora falamos da LGPD, é a gestão de acessos (quem tem acesso a o que, desde quando e por quê?). Sabemos que os vazamentos de dados na maioria das vezes estão associados ao uso de credenciais de colaboradores, terceiros, usuários de serviço ou super-usuários ou usuários privilegiados. Então este é um controle obrigatório e, por experiência do que vi no mercado, não é muito bem conduzido. Liderei vários projetos de gestão de identidades (IDM) e ainda vejo empresas batendo a cabeça em priorizar o que é realmente importante e de valor ao negócio.
Além da Segurança da Informação a própria área de Tecnologia da Informação tem papel importante, dar suporte para a operação de negócio, com a arquitetura corporativa. É muito “sisteminha” para qualquer coisa. Por favor, planilha Excel não é informatizar!!! O negócio precisa de soluções robustas, que suportem os processos adequadamente e que sejam integráveis e compatíveis com o mundo. As empresas devem buscar soluções para o negócio, mas em alguns casos temos apenas uma tela e um monstrinho para tratar. Mais arquitetura, menos “engebração”. Isso está custando caro agora. Qualquer CFO sabe disso.
E finalizo falando de comunicação e capacitação. Pegue o telefone e ligue para 10 pessoas e pergunte: O que sua empresa está fazendo para se adequar a LGPD? Não se assuste com as respostas. Se você está lendo este texto é porque existe grande probabilidade de estar atuante no tema na sua empresa ou como consultor. Mas a maioria das pessoas ainda não faz ideia do que é. O problema é que se ela não sabe pela empresa, ela também não sabe como titular. Já fiz o exercício de ligar para algumas empresas, nem todos eram fornecedores, na verdade a maioria eram empresa onde sou titular (clubes de descontos, laboratórios, mercados, etc.). A conclusão é que precisamos sim abordar a comunicação desde o início.
Neste momento tem alguém atendendo um cliente no call center, fazendo 200 perguntas, coletando um monte de dados e anotando em vários locais (sistema, planilha, papel, papel de pão, etc.). Além disso, como nossa própria organização está sabendo do nosso projeto? Essa é outra ótima pergunta, pois as vezes parece que o projeto é confidencial. Então além de comunicar, é preciso treinar, capacitar, explicar, orientar, reciclar e vários outros verbos. Primeiro que isso será uma grande ajuda para o Programa de Privacidade, pois reforça o engajamento de todos (desde o início eu já afirmei que a conformidade é um desafio para toda a empresa), segundo que existem áreas que fazem contato direto com os titulares e precisam, como nós dentro do projeto e do programa, estarem devidamente informados e treinados, e depois de vários outros motivos a justificativa final, comunicar não faz mal a ninguém.
A jornada não acabou, mas olhando para trás posso ver que passamos por vários locais, desafios, turbulências, dias de sol, dias de chuva, experiências boas, aprendizados importantes. Sempre falo para as pessoas: não espere para começar seu projeto, o tempo está correndo, e muito rápido, então mãos a obra. Se organize, veja o que realmente é prioritário (existem muitos processos com dados pessoais que podem parar sua empresa, mas existem outros que vão apenas te incomodar). Mas lembre que existem etapas que valem muito agora e no futuro, o inventário é uma delas.
Hoje olho para o projeto e vejo que temos menos incertezas que antes. Que temos boas decisões tomadas e aplicadas, mas também aprendizados importantes (alguns doloridos – lembrei do “no pain, no gain”). Hoje eu olho para nosso projeto e fico feliz por ter aberto uma estrada em meio a selva, por ter sido um dos primeiros a trilhar o caminho. Cada cicatriz conta uma história e uma lição.
Vamos em frente, bom trabalho a todos e muito sucesso!!!