\nCertamente, n\u00e3o h\u00e1 um \u00fanico fator de insucesso, mas uma conflu\u00eancia deles para que projetos de adequa\u00e7\u00e3o n\u00e3o saiam conforme o planejado. No entanto, a experi\u00eancia demonstra que o principal empecilho da metodologia que ainda hoje \u00e9 vista como padr\u00e3o de mercado (sendo copiada inclusive em RFP\/RFQ) est\u00e1 no fato dela propor que o trabalho inicial seja o mapeamento exaustivo de dados, processos e bases legais, quando este deve representar (sem d\u00favidas) uma das rotinas de um bom Programa de Compliance em Privacidade, mas n\u00e3o necessariamente o primeiro passo.<\/p>\n
Ao colocarmos o mapeamento na primeira etapa, h\u00e1 grandes chances de cairmos nos seguintes erros, que v\u00e3o fazer com que o projeto de adequa\u00e7\u00e3o: (i) n\u00e3o evolua com a celeridade necess\u00e1ria ou (ii) n\u00e3o entregue aquilo que a empresa espera (gerando sensa\u00e7\u00e3o de constante depend\u00eancia de ajuda externa).<\/p>\n
1. Custo e tempo muito elevados j\u00e1 no in\u00edcio do projeto<\/strong> Abaixo, o tempo m\u00e9dio para um mapeamento tal como proposto pela metodologia padr\u00e3o de mercado, segundo o que j\u00e1 vimos acontecer na pr\u00e1tica:<\/p>\n Al\u00e9m disso, para ser bem executado, um mapeamento de processos, na maioria das vezes, exige o real engajamento de todas as \u00e1reas da empresa, o que, em muitos casos, dificulta ou mesmo inviabiliza o in\u00edcio da execu\u00e7\u00e3o da metodologia padr\u00e3o de mercado sobre a qual estamos nos referindo.<\/p>\n 2. Prop\u00f3sito: mapeamento acaba sendo visto como um fim em si mesmo<\/strong> Nesse sentido, toda a aten\u00e7\u00e3o dos gestores, grupo de trabalho, consultores e PMO fica totalmente concentrada nessa atividade, que \u00e9 apenas uma dos elementos (sequer o primeiro) de uma adequa\u00e7\u00e3o. Al\u00e9m disso, para as \u00e1reas de neg\u00f3cio, pode ficar parecendo que se adequar \u00e0 LGPD se resume a preencher um question\u00e1rio, planilha ou responder entrevista, o que cria uma ideia extremamente nociva \u00e0 transforma\u00e7\u00e3o cultural buscada pela nova Lei.<\/p>\n 3. Continuidade: sensa\u00e7\u00e3o de estar sem rumo ap\u00f3s o levantamento dos gaps<\/strong> Essas perguntas surgem porque talvez, antes de sairmos em busca dos gaps, dever\u00edamos estar com a estrutura pronta para endere\u00e7\u00e1-los. Basicamente: n\u00e3o queremos encontrar erros que n\u00e3o sabemos como resolver. Ao fazer isso, vamos ter a sensa\u00e7\u00e3o de que consumimos milhares de reais e horas para ter, ao final do dia, uma planilha que, sozinha, de nada adiantar\u00e1.<\/p>\n 4. Mapeamento j\u00e1 nasce desatualizado e, ainda por cima, \u00e9 evid\u00eancia negativa<\/strong> Inclusive, enquanto a empresa est\u00e1 totalmente focada no mapeamento, seus times de inova\u00e7\u00e3o est\u00e3o em constantes atividades de desenvolvimento, ou seja, ao mesmo tempo em que h\u00e1 um projeto de adequa\u00e7\u00e3o em marcha na organiza\u00e7\u00e3o, novos produtos, servi\u00e7os e estrat\u00e9gias est\u00e3o sendo lan\u00e7ados sem qualquer direcionamento de privacidade, o que faz aumentar o tamanho do buraco a cada dia.<\/p>\n Por outro lado, ao ter contato com as ideias que aqui compartilhamos, o(a) leitor(a) mais curioso(a) e cr\u00edtico(a) pode estar se perguntando: mas a lei n\u00e3o exige expressamente que eu tenha um registro das opera\u00e7\u00f5es de tratamento de dados pessoais? Sim, exige, mais precisamente no artigo 37. Mas n\u00e3o h\u00e1 na LGPD qualquer ind\u00edcio de que este deva ser a sua primeira preocupa\u00e7\u00e3o como empresa, afinal, n\u00e3o parece uma boa ideia incluir em tais registros processos irregulares \u2013 que n\u00e3o contam sequer com mecanismos corporativos bem desenhados para san\u00e1-los.<\/p>\n Em outras palavras, o mapeamento que se faz ao in\u00edcio dos trabalhos de adequa\u00e7\u00e3o n\u00e3o \u00e9 (ou n\u00e3o deveria ser) a mesma coisa que o registro de opera\u00e7\u00f5es exigido pela Lei. De outra forma, estaremos formalizando e consolidando, dentro da companhia, processos irregulares e gaps, que devem ser sim identificados para se permitir a corre\u00e7\u00e3o, mas n\u00e3o mantidos em relat\u00f3rios como processos estabelecidos da companhia, sob pena de estarmos atestando \u2013 para quem quiser e puder ter acesso (notadamente, a futura Autoridade Nacional de Prote\u00e7\u00e3o de Dados) \u2013 que nossas atividades s\u00e3o irregulares.<\/p>\n 5. As \u00e1reas nunca estar\u00e3o em conformidade se a estrutura da organiza\u00e7\u00e3o n\u00e3o estiver<\/strong> Esse passo em falso tamb\u00e9m pode trazer, inclusive, uma dificuldade ainda maior de se ter o engajamento das \u00e1reas, o que \u00e9 essencial para que a empresa alcance n\u00edvel de conformidade satisfat\u00f3rio em rela\u00e7\u00e3o \u00e0 LGPD no dia-a-dia. Enquanto o trabalho de adequa\u00e7\u00e3o estiver focado na LGPD (ou outras legisla\u00e7\u00f5es aplic\u00e1veis) e n\u00e3o for refletido em pol\u00edticas internas, as \u00e1reas de neg\u00f3cio tender\u00e3o a interpretar que isso \u00e9 um assunto exclusivamente do jur\u00eddico ou do compliance.<\/p>\n No entanto, o cen\u00e1rio tende a mudar quando os assuntos de privacy passarem a ser objeto de normas corporativas que, se n\u00e3o cumpridas, geram impactos diretos na continuidade dos trabalhos e cargos. Em s\u00edntese, talvez n\u00e3o haja argumentos suficientes para se exigir a coopera\u00e7\u00e3o das \u00e1reas de neg\u00f3cio se a pr\u00f3pria estrutura da empresa ainda n\u00e3o estiver preparada para lidar com quest\u00f5es decorrentes do direito \u00e0 prote\u00e7\u00e3o de dados.<\/p>\n Qual a solu\u00e7\u00e3o?
\nUm mapeamento de processos que envolvam dados pessoais bem feito, de fato, \u00e9 caro. Seja conduzido internamente ou com aux\u00edlio externo, n\u00e3o h\u00e1 f\u00f3rmula m\u00e1gica poss\u00edvel: o trabalho realmente vai exigir muitas horas para ser desempenhado. Esse tamb\u00e9m \u00e9 um dos principais fatores que faz com que, em muitos casos, o projeto de adequa\u00e7\u00e3o n\u00e3o receba o buy-in daqueles que deveriam ser os sponsors.<\/p>\n![\"\"](\"http:\/\/helbertt.xyz\/site\/wp-content\/uploads\/2020\/02\/tempo-medio-mapeamento-lgpd-brasil.png\")
<\/p>\n
\nTanta energia, tempo e dinheiro gastos faz com que a empresa acabe enxergando o mapeamento de processos como parte fundamental do trabalho de adequa\u00e7\u00e3o. Parece at\u00e9 que, sem ele, nada mais poder\u00e1 ser feito.<\/p>\n
\nMeses ap\u00f3s o in\u00edcio dos trabalhos, voil\u00e0! Mapeamento feito e agora a companhia tem uma planilha e\/ou relat\u00f3rio, mas, muitas vezes, n\u00e3o sabe o que fazer a partir da\u00ed. Qual o passo seguinte do mapeamento? O que fazemos agora?<\/p>\n
\nQuando se coloca o mapeamento de processos e bases legais como o primeiro passo dos trabalhos, antes de haver na empresa regras decorrentes do Programa de Privacidade que prevejam mecanismos de atualiza\u00e7\u00e3o, tal mapeamento fica desatualizado antes mesmo de ser terminado. Ao se mapear determinada \u00e1rea hoje, amanh\u00e3 ela j\u00e1 ter\u00e1 novos projetos que, se n\u00e3o houver governan\u00e7a em privacidade na empresa, n\u00e3o estar\u00e3o no radar de ningu\u00e9m.<\/p>\n
\nResumindo tudo o que foi exposto at\u00e9 aqui, parece que a raz\u00e3o macro para que empresas sintam dificuldade em se adequar \u00e0 LGPD est\u00e1 no fato de se apoiarem em metodologia padr\u00e3o de mercado que coloca o mapeamento de processos, atividades e bases legais como primeiro passo. Isso talvez funcione bem em alguns contextos, especialmente na Europa, onde as empresas discutem governan\u00e7a em privacidade h\u00e1 mais de 2 d\u00e9cadas, mas tende a fracassar em situa\u00e7\u00f5es onde sequer existe um embri\u00e3o de Programa de Privacidade.<\/p>\n
\nComo dito, n\u00e3o h\u00e1 solu\u00e7\u00e3o \u00fanica em rela\u00e7\u00e3o aos trabalhos de adequa\u00e7\u00e3o, mas certamente h\u00e1 alternativas ao que vinha sendo amplamente difundido at\u00e9 ent\u00e3o. A metodologia mais comum no mercado, no melhor dos cen\u00e1rios, at\u00e9 entrega o carro \u00e0 empresa que a ela decide aderir, mas n\u00e3o se preocupa em formar ou indicar o piloto antes de mais nada, o que tem gerado um alto potencial de insatisfa\u00e7\u00e3o e sensa\u00e7\u00e3o de fracasso\/inutilidade.<\/p>\n