A Lei Geral de Proteção de Dados trouxe muitas questões sobre como as empresas poderiam se adequar a esta nova lei, seguindo um certo padrão que foi consolidado no mercado. Porém, isso não tem dado muito certo. Ainda não conseguiu adequar seu projeto à LGPD? Veja a provável causa.
Essa metodologia que foi trazida ao mercado instaurou um padrão de adequação à LGPD, envolvendo um cronograma extenso e muitas horas de trabalho. E segundo tal metodologia, o projeto deve se iniciar na fase 1 com um mapeamento ou inventário de todos os processos da organização que envolvem coleta, uso, armazenamento ou compartilhamento de dados pessoais.
Depois, um relatório de melhorias é emitido, com atribuições (muitas vezes genéricas e extremamente amplas) para a empresa realizar na fase 2, que seria a de implementação. Seguindo essa abordagem, a preocupação com governança, quando aparece, vem apenas na fase 2, ou seja, após o mapeamento exaustivo que foi realizado.
Muitas empresas, desde meados de 2018, aderiram a essa metodologia. Inclusive, quando o mercado de consultoria se preparava para oferecer no Brasil o suporte à adequação. Porém, para muitas empresas, essa abordagem não está funcionando e, portanto, é preciso apresentar novas alternativas, que sejam mais viáveis para a realidade nacional, que, em termos de estrutura corporativa relacionada à privacidade, é muito aquém da que é encontrada na Europa – onde foram buscar essa metodologia padrão.
Por que a metodologia padrão não está funcionando para algumas empresas brasileiras?
Com certeza, não existe um único fator de insucesso, e sim, uma confluência deles para que projetos de adequação não saiam conforme o planejado. No entanto, a experiência demonstra que o principal empecilho da metodologia que ainda hoje é vista como padrão no mercado, está no fato dela propor que o trabalho inicial seja o mapeamento exaustivo de dados, processos e bases legais, quando este deve representar uma das rotinas de um bom Programa de Compliance em Privacidade, mas não necessariamente o primeiro passo.
Ao colocar o mapeamento na primeira etapa, há grandes chances de cair nos seguintes erros, que vão fazer com que o projeto de adequação não evolua com a celeridade necessária ou não entregue aquilo que a empresa espera, gerando uma sensação de constante dependência de ajuda externa.
1. Custo e tempo elevados no início do projeto
Um mapeamento de processos que envolvam dados pessoais bem feito, de fato, é caro. Seja conduzido internamente ou com ajuda externa, não existe uma fórmula mágica, o trabalho realmente vai exigir muitas horas para ser desempenhado. Esse também é um dos principais fatores que faz com que, em muitos casos, o projeto de adequação não receba o buy-in daqueles que deveriam ser os sponsors.
Para ser bem executado, um mapeamento de processos, na maioria das vezes, exige o real engajamento de todas as áreas da empresa, o que dificulta em muitos casos ou inviabiliza o início da execução da metodologia padrão de mercado sobre a qual estamos nos referindo.
2. Mapeamento já nasce desatualizado
Quando se coloca o mapeamento de processos e bases legais como o primeiro passo dos trabalhos, antes de haver na empresa regras decorrentes do Programa de Privacidade que prevejam mecanismos de atualização, tal mapeamento fica desatualizado antes mesmo de ser terminado.
Ao se mapear determinada área hoje, amanhã ela já terá novos projetos que, se não houver governança em privacidade na empresa, não estarão no radar de ninguém.
Inclusive, quando a empresa está totalmente focada no mapeamento, seus times de inovação estão em constantes atividades de desenvolvimento, ou seja, ao mesmo tempo em que há um projeto de adequação em marcha na organização, novos produtos serviços e estratégias estão sendo lançados sem qualquer direcionamento de privacidade, fazendo com que o buraco aumente a cada dia.
Por outro lado, você pode estar se perguntando: mas a lei não exige expressamente que eu tenha um registro das operações de tratamento de dados pessoais? Sim, exige, mais precisamente no artigo 37. Mas não há na LGPD qualquer indício de que esta deva ser sua primeira preocupação como empresa, afinal, não parece uma boa ideia incluir em tais registros processos irregulares – que não contam sequer com mecanismos corporativos bem desenhados para saná-los.
Em outras palavras, o mapeamento que se faz ao início dos trabalhos de adequação não é, ou não deveria ser, a mesma coisa que o registro de operações exigido pela Lei. De outra maneira, estaremos formalizando e consolidando, dentro da companhia, processos irregulares e gaps, que devem ser, sim, identificados para se permitir a correção, mas não mantidos em relatórios como processos estabelecidos da companhia, sob pena de estarmos atestando – para quem quiser e puder ter acesso (notadamente, a futura Autoridade Nacional de Proteção de Dados) – que nossas atividades são irregulares.
3. Mapeamento como fim em si mesmo
Tanta energia, tempo e dinheiro gastos faz com que a empresa acabe enxergando o mapeamento de processos como parte fundamental do trabalho de adequação. Até parece que mais nada poderá ser feito sem ele.
Nesse sentido, toda a atenção dos gestores, grupo de trabalho, consultores e PMO fica totalmente concentrada nessa atividade, que é apenas uma dos elementos de uma adequação. Além disso, para as áreas de negócio, pode ficar parecendo que se adequar à LGPD se resume a preencher um questionário, planilha ou responder uma entrevista, criando um ideia extremamente nociva à transformação cultural pela nova Lei.
4. Sensação de estar sem rumo após levantamento de gaps
Depois de vários meses de trabalho, está pronto! Mapeamento feito e agora a companhia tem planilha e/ou relatório, mas muitas vezes, não sabe o que fazer a partir daí. Qual o passo seguinte do mapeamento? O que fazer agora?
Essas perguntas surgem porque talvez, antes de sair em busca dos gaps, deveria estar com a estrutura pronta para endereçá-los. Basicamente: não queremos encontrar erros que não sabemos resolver. Ao fazer isso, vamos ter a sensação de que consumimos milhares de reais e horas para ter, ao final do dia, uma planilha que, sozinha, não serve para nada.
5. As áreas nunca estarão em conformidade se a estrutura da organização não estiver
Em resumo ao que foi explicado até aqui, parece que a razão macro para que empresas sintam dificuldade em se adequar à Lei Geral de Proteção de Dados está no fato de se apoiarem em metodologia padrão de mercado que coloca o mapeamento de processos, atividades e bases legais como primeiro passo.
Talvez isso funcione bem em alguns contextos, principalmente na Europa, onde as empresas discutem governança em privacidade há mais de 2 décadas, mas tende a fracassar em situações onde sequer existe um princípio de Programa de Privacidade.
Esse passo em falso pode trazer uma dificuldade ainda maior de se ter o engajamento das áreas, o que é essencial para que a empresa alcance nível de conformidade satisfatório em relação à LGPD no dia a dia. Enquanto o trabalho de adequação estiver focado na LGPD e não for refletido em políticas internas, as áreas de negócio tenderão a interpretar que isso é um assunto exclusivamente do jurídico ou do compliance.
No entanto, o cenário tende a mudar quando os assuntos de privacy passarem a ser objeto de normas corporativas que, se não cumpridas, geram impactos diretos na continuidade dos trabalhos e cargos. Em síntese, talvez não existam argumentos suficientes para se exigir a cooperação das áreas de negócio se a própria estrutura da empresa ainda não estiver preparada para lidar com questões decorrentes do direito à proteção de dados.
E qual é a solução?
Como foi dito, não existe uma solução única em relação aos trabalhos de adequação, mas certamente há alternativas ao que vinha sendo amplamente difundido até então. A metodologia mais comum no mercado, no melhor dos cenários, até entrega o carro à empresa que ela decide aderir, mas não se preocupa em formar ou indicar o piloto antes de mais nada, o que tem gerado um alto potencial de insatisfação e sensação de inutilidade.
Assim, uma metodologia adequada deve focar em formar o piloto para que então a empresa possa receber o carro (rotinas de manutenção do Programa de Privacidade, como mapeamento e revisão de processos e bases legais, assessment de terceiros, avaliação de projetos etc).
Se você já tiver o mapeamento, em todo ou em parte, este também pode ser utilizado para aprimorar ainda mais o pontapé inicial, além de ser retomado quando existem regras internas sobre owners e responsáveis pelas correções e atualizações.
Conte com a Hialinx para ser sua parceira de tecnologia. Nós já estamos por dentro da nova legislação. Traga sua empresa pra cá e adeque sua equipe o quanto antes!
–