Tenho percebido por meio de conversas informais, trocas de experiências e vivências que muitos projetos para adequação de empresas à Lei Geral de Proteção de Dados findam sem, tampouco, uma perspectiva de desdobramento enquanto programa de privacidade e proteção de dados.
Basicamente, por força de lei, contrata-se o projeto: mapear atividades de tratamento de dados pessoais, identificar sistemas atuantes, o que se compartilha com quais terceiros, realizar análise de riscos estruturantes e procedimentais, lançar umas pílulas, escrever uma política, implementar um banner de cookies e nomear um encarregado. Entrevistas, dezenas de arquivos e entrega não garantem cumprimento ao regulamento. Se “garantir” já é uma palavra muito forte em qualquer contexto, aqui, um projeto não é capaz de manter uma adequação, definitivamente.
Transformar um projeto de adequação em um programa que faça parte da cadeia de valor de uma organização, significa transformar os vinte e cinco por cento de lei em cem por cento de gestão contínua. Percebo e defendo que, muitas vezes, o problema disso tudo está na ausência ou distância, como uma regra da língua portuguesa, do sujeito ao predicado. Nesse caso, em específico, quem pariu Mateus nem sempre é quem mantém e embala, salvo raríssimas exceções.
Não é nada simplório vislumbrar os próximos passos e dar continuidade. Nem sempre é apenas ou sobre tecnologia, mas sempre é sobre pessoas. Pessoas são sempre o elo mais fraco quando se trata de riscos e vulnerabilidades, mas, aqui, elas são o ponto forte. Na verdade, elas são até o segredo. São as pessoas com uma visão bastante holística que conseguem lidar com a interdisciplinaridade da pauta, que conseguem identificar gaps do programa, medir maturidade, gerar plano de ação para si e outras áreas de negócios da empresa, avaliar cláusulas, apontar requisitos, atribuir base legal, gerar relatórios de impacto, revisar e gerar novos mapeamentos de atividades.
Se uma andorinha não faz verão, um profissional sozinho também não mantém ou evolui a adequação. Se não cabe um time, cabe um comitê. Mas sempre um líder com visão de governança, de necessidades de outros saberes que se complementam, como jurídico, processos, riscos, segurança da informação… A LGPD é complexa mas não precisa ser difícil, precisa ser bem implementada, bem gerida e bem conduzida em suas múltiplas facetas.
Um programa de privacidade é como um nobre sentimento que, a todo dia, precisa ser regado e cuidado para que não morra de inanição. Ele é vivo e deve refletir as mudanças organizacionais.
Resista às falácias de receitas de bolo e invista nas pessoas, sempre.
Já realizou a sua adequação à LGPD? Então leia e desmistifique as melhores práticas para gestão de consentimentos nesse texto do blog.