Como já dissemos em outras ocasiões, consolidou-se no mercado uma metodologia padrão para adequação à LGPD, que envolve muitos to-do’s, um cronograma extenso e muitas horas de trabalho. Segundo tal metodologia, o projeto deve se iniciar na fase 1 com um mapeamento ou inventário de todos os processos da organização que envolvem coleta, uso, armazenamento ou compartilhamento de dados pessoais. Após isso, é emitida uma gap analysis ou relatório de melhorias, com atribuições (muitas vezes extremamente amplas e genéricas) para a empresa realizar na fase 2, que seria a de implementação. Ainda nessa abordagem, a preocupação com governança, quando aparece, vem apenas na fase 2, ou seja, após o mapeamento exaustivo que comentamos.

Desde meados de 2018, vimos muitas empresas aderirem a essa metodologia. Inclusive, quando o mercado de consultorias (jurídica e técnica) se preparava para oferecer no Brasil o suporte à adequação, eu mesmo, junto com alguns colegas que já atuavam no tema, fui um dos embaixadores de tal abordagem, que, inclusive, é inspirada em recomendações e doutrinas internacionais. Em resumo, não há nada de errado com ela, até porque, como sempre reforçamos, não há jeito certo ou errado de se adequar à LGPD. As inspirações, recomendações, guias e metodologias são variadas e cada empresa deve optar pelo caminho com melhor potencial de funcionar de acordo com a sua realidade.

No entanto, para muitas empresas no Brasil, essa abordagem não vem funcionando e, portanto, cabe a nós, profissionais de privacidade, apresentarmos alternativas talvez mais viáveis para a realidade nacional, que, em termos de estrutura corporativa relacionada à privacidade, é muito aquém daquela encontrada na Europa – onde lá no começo fomos buscar a metodologia padrão.

Por que a metodologia padrão não vem funcionando para muitas empresas brasileiras?

Certamente, não há um único fator de insucesso, mas uma confluência deles para que projetos de adequação não saiam conforme o planejado. No entanto, a experiência demonstra que o principal empecilho da metodologia que ainda hoje é vista como padrão de mercado (sendo copiada inclusive em RFP/RFQ) está no fato dela propor que o trabalho inicial seja o mapeamento exaustivo de dados, processos e bases legais, quando este deve representar (sem dúvidas) uma das rotinas de um bom Programa de Compliance em Privacidade, mas não necessariamente o primeiro passo.

Ao colocarmos o mapeamento na primeira etapa, há grandes chances de cairmos nos seguintes erros, que vão fazer com que o projeto de adequação: (i) não evolua com a celeridade necessária ou (ii) não entregue aquilo que a empresa espera (gerando sensação de constante dependência de ajuda externa).

1. Custo e tempo muito elevados já no início do projeto

Um mapeamento de processos que envolvam dados pessoais bem feito, de fato, é caro. Seja conduzido internamente ou com auxílio externo, não há fórmula mágica possível: o trabalho realmente vai exigir muitas horas para ser desempenhado. Esse também é um dos principais fatores que faz com que, em muitos casos, o projeto de adequação não receba o buy-in daqueles que deveriam ser os sponsors.
Abaixo, o tempo médio para um mapeamento tal como proposto pela metodologia padrão de mercado, segundo o que já vimos acontecer na prática:

Além disso, para ser bem executado, um mapeamento de processos, na maioria das vezes, exige o real engajamento de todas as áreas da empresa, o que, em muitos casos, dificulta ou mesmo inviabiliza o início da execução da metodologia padrão de mercado sobre a qual estamos nos referindo.

2. Propósito: mapeamento acaba sendo visto como um fim em si mesmo

Tanta energia, tempo e dinheiro gastos faz com que a empresa acabe enxergando o mapeamento de processos como parte fundamental do trabalho de adequação. Parece até que, sem ele, nada mais poderá ser feito.

Nesse sentido, toda a atenção dos gestores, grupo de trabalho, consultores e PMO fica totalmente concentrada nessa atividade, que é apenas uma dos elementos (sequer o primeiro) de uma adequação. Além disso, para as áreas de negócio, pode ficar parecendo que se adequar à LGPD se resume a preencher um questionário, planilha ou responder entrevista, o que cria uma ideia extremamente nociva à transformação cultural buscada pela nova Lei.

3. Continuidade: sensação de estar sem rumo após o levantamento dos gaps

Meses após o início dos trabalhos, voilà! Mapeamento feito e agora a companhia tem uma planilha e/ou relatório, mas, muitas vezes, não sabe o que fazer a partir daí. Qual o passo seguinte do mapeamento? O que fazemos agora?

Essas perguntas surgem porque talvez, antes de sairmos em busca dos gaps, deveríamos estar com a estrutura pronta para endereçá-los. Basicamente: não queremos encontrar erros que não sabemos como resolver. Ao fazer isso, vamos ter a sensação de que consumimos milhares de reais e horas para ter, ao final do dia, uma planilha que, sozinha, de nada adiantará.

4. Mapeamento já nasce desatualizado e, ainda por cima, é evidência negativa

Quando se coloca o mapeamento de processos e bases legais como o primeiro passo dos trabalhos, antes de haver na empresa regras decorrentes do Programa de Privacidade que prevejam mecanismos de atualização, tal mapeamento fica desatualizado antes mesmo de ser terminado. Ao se mapear determinada área hoje, amanhã ela já terá novos projetos que, se não houver governança em privacidade na empresa, não estarão no radar de ninguém.

Inclusive, enquanto a empresa está totalmente focada no mapeamento, seus times de inovação estão em constantes atividades de desenvolvimento, ou seja, ao mesmo tempo em que há um projeto de adequação em marcha na organização, novos produtos, serviços e estratégias estão sendo lançados sem qualquer direcionamento de privacidade, o que faz aumentar o tamanho do buraco a cada dia.

• Leia todos os artigos sobre LGPD no tecflow

Por outro lado, ao ter contato com as ideias que aqui compartilhamos, o(a) leitor(a) mais curioso(a) e crítico(a) pode estar se perguntando: mas a lei não exige expressamente que eu tenha um registro das operações de tratamento de dados pessoais? Sim, exige, mais precisamente no artigo 37. Mas não há na LGPD qualquer indício de que este deva ser a sua primeira preocupação como empresa, afinal, não parece uma boa ideia incluir em tais registros processos irregulares – que não contam sequer com mecanismos corporativos bem desenhados para saná-los.

Em outras palavras, o mapeamento que se faz ao início dos trabalhos de adequação não é (ou não deveria ser) a mesma coisa que o registro de operações exigido pela Lei. De outra forma, estaremos formalizando e consolidando, dentro da companhia, processos irregulares e gaps, que devem ser sim identificados para se permitir a correção, mas não mantidos em relatórios como processos estabelecidos da companhia, sob pena de estarmos atestando – para quem quiser e puder ter acesso (notadamente, a futura Autoridade Nacional de Proteção de Dados) – que nossas atividades são irregulares.

5. As áreas nunca estarão em conformidade se a estrutura da organização não estiver

Resumindo tudo o que foi exposto até aqui, parece que a razão macro para que empresas sintam dificuldade em se adequar à LGPD está no fato de se apoiarem em metodologia padrão de mercado que coloca o mapeamento de processos, atividades e bases legais como primeiro passo. Isso talvez funcione bem em alguns contextos, especialmente na Europa, onde as empresas discutem governança em privacidade há mais de 2 décadas, mas tende a fracassar em situações onde sequer existe um embrião de Programa de Privacidade.

Esse passo em falso também pode trazer, inclusive, uma dificuldade ainda maior de se ter o engajamento das áreas, o que é essencial para que a empresa alcance nível de conformidade satisfatório em relação à LGPD no dia-a-dia. Enquanto o trabalho de adequação estiver focado na LGPD (ou outras legislações aplicáveis) e não for refletido em políticas internas, as áreas de negócio tenderão a interpretar que isso é um assunto exclusivamente do jurídico ou do compliance.

No entanto, o cenário tende a mudar quando os assuntos de privacy passarem a ser objeto de normas corporativas que, se não cumpridas, geram impactos diretos na continuidade dos trabalhos e cargos. Em síntese, talvez não haja argumentos suficientes para se exigir a cooperação das áreas de negócio se a própria estrutura da empresa ainda não estiver preparada para lidar com questões decorrentes do direito à proteção de dados.

Qual a solução?

Como dito, não há solução única em relação aos trabalhos de adequação, mas certamente há alternativas ao que vinha sendo amplamente difundido até então. A metodologia mais comum no mercado, no melhor dos cenários, até entrega o carro à empresa que a ela decide aderir, mas não se preocupa em formar ou indicar o piloto antes de mais nada, o que tem gerado um alto potencial de insatisfação e sensação de fracasso/inutilidade.

Nesse sentido, tomo a liberdade de fazer menção à metodologia que construímos na Daniel Advogados, a qual foca em formar ou indicar o(s) piloto(s) para que então a empresa possa receber o carro (rotinas de manutenção do Programa de Privacidade, como mapeamento e revisão de processos e bases legais, assessment de terceiros, avaliação de projetos etc.).

Para aqueles que já têm o mapeamento, em todo ou em parte, este também pode ser utilizado para aprimorar ainda mais o pontapé inicial, além de ser retomado quando existam regras internas sobre owners e responsáveis pelas correções e atualizações.


Explicando de maneira mais visual o racional da abordagem SMART que propomos:

Marciel

Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.