LGPD não é um projeto…é uma jornada!

CONAENGE » LGPD » Não é um Projeto… é uma Jornada

LGPD não é um projeto...é uma jornada!

Entendo que já estou na vigésima terceira palestra/curso sobre LGPD (Lei Geral de Proteção de Dados Pessoais), nos últimos 6 meses, e não me canso de repetir a frase: “A LGPD não é um projeto…é uma jornada!”. Creio que é necessário amplificar esta abordagem para que mais organizações possam refletir, de forma prática, se faz sentido incluir o tal “fator humano” no início de sua caminhada em segurança e privacidade de dados pessoais.

A LGPD não é ação isolada do jurídico ou da TI. LGPD é sobre pessoas!

A LGPD é uma jornada de transformação do ser humano em relação a como estes lidam com suas próprias informações. A lei é o meio, não a essência.

Este é o propósito da LGPD: Mudar comportamentos !

Você não adequa um CNPJ a lei, você muda a cultura empresarial sobre como devemos lidar com dados pessoais. A LGPD, em si, como lei, é um dos mais fortes argumentos e o núcleo central, obviamente, para que isso aconteça.

Engajamento dos Colaboradores com a LGPD

Para que a jornada da LGPD seja um sucesso, a exigência maior será o comprometimento do capital humano da empresa. Quando é bem-sucedida, tem como resultado colaboradores que desejam promover as mudanças que a lei impõe. Caso contrário, teremos um distanciamento das ações e conflitos internos que buscarão culpados sobre a não adesão ou incapacidade de solucionar problemas e desafios impostos pelo nova norma legal.

Capital Humano - LGPD

Ainda percebo, em algumas organizações, em que tenho mais proximidade, modelos ou tentativas de contratações de consultorias, na sua maior parte, exclusivamente jurídicas, onde há a insistência na execução de “projetos de adequação” à legislação geral de proteção de dados pessoais baseado em número de horas e um escopo ( com início, meio e fim) tecnicamente discutível em algumas situações.

O ponto alto do envolvimento das pessoas são workshops de sensibilização. Só isso não resolverá o engajamento, o sucesso e a execução das ações posteriores. Não há envolvimento da organização, no escopo, como um todo, sobre todos os aspectos em que as pessoas serão impactadas. Não é sobre uma lei. É sobre como pessoas criam uma nova dinâmica comportamental, inclusive na sua vida pessoal e como isso se refletirá nos negócios desta organização de forma perene, contínua e que levará a novas ondas de aperfeiçoamento sobre gestão e segurança de dados pessoais.

Projeto Segundo o PMBOK

Fui buscar a definição de projeto, segundo o PMBOK: “Um projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo.” Resumindo, projeto é o evento que tem início e fim (com escopo) bem definidos. Diferente de uma operação tecnológica como a execução de backup, por exemplo, que é uma tarefa recorrente recomendada e não se conhece quando ela não será mais necessária. É algo rotineiro no cotidiano digital de uma organização.

Definitivamente, segurança e privacidade de dados, baseado na LGPD, não é um projeto pela definição acima ! Não é algo temporário. Aliás ninguém deseja que assim o seja. Você não acorda um dia e diz para si mesmo: “Que ótimo ! Agora com a minha corporação adequada a LGPD nunca mais vou ter que cuidar de privacidade dos dados ou da segurança da informação!”

Além disso, fico um pouco mais surpreso, no apoio das organizações nestas contratações, quando me deparo com estas propostas baseadas em escopos delimitados, mas com objetivos amplos, subjetivos, baseados em projetos, exclusivamente, jurídicos. Há um modelo padrão de proposta no mercado, que exclui o tema mudança de cultura organizacional e da própria segurança da informação, sob a ótica da TI e do impacto e extensão dos ajustes em códigos e aplicações legados, por exemplo.

Visão Ampla da LGPD

Há a percepção de que a organização está fazendo uma angulação desequilibrada para resolver apenas a questão legal, esquecendo da verdadeira essência e objetivo da lei existir. Parece que esta angulação tende a gerar mais problemas do que soluções em um futuro breve. O que já defini como “a volta do cipó !” : Serão os casos onde o contratante se voltará contra o contratado exigindo uma série de ajustes que jamais foram definidos na sua entrega e então teremos implementações da LGPD pela metade ou insatisfatórias. Problema à vista, obviamente, mas apenas após agosto de 2020!

Precisaremos de esforços adicionais de pessoas internas a organização

Com plena certeza, haverão casos onde alguns simples ajustes de processos de negócio poderão significar uma completa reformulação do ERP ( Enterprise Resource Planning) da empresa. A jornada será definitivamente longa e penosa nestes casos. E precisaremos de esforços adicionais de pessoas internas a organização. E é por isso que temos que nos preparar para uma caminhada longa e íngreme, em certas situações. Estas pessoas necessitam ser convidadas a liderarem esta nova jornada.

Apenas diagnosticar e indicar alterações de processos de negócio para a organização, somente com o viés jurídico, sem a mensuração dos efeitos sobre o negócio, sobre as pessoas e os impactos das mudanças tecnológica necessárias é subdimensionar os efeitos que a LGPD trará no processos de adequação das organizações.

Esforço Conjunto Para o Sucesso com a LGPD

É necessário um alinhamento muito forte entre este esforço de compreender e interpretar a legislação com as mudanças de processos, inventário e classificação de dados juntamente com a área de tecnologia da organização e de recursos humanos, sob pena de enfrentarmos conflitos inerentes a escopos distintos e antagônicos.

Além disso, pode ser que, na matriz de riscos, dentro do relatório de impacto previsto na legislação, em alguma situação específica, a organização decida correr determinado risco, pois o efeito da mudança pode ser tão devastador para o seu negócio, que qualquer alteração, neste momento, se torne inviável.

A área de TI, há muitos anos, convive com várias certificações e normas internacionais aplicadas a segurança da informação, como ISO27001 , ISO27002, ISO29100, entre tantas outras. É necessário alinhar o que se faz hoje com as coisas positivas que a LGPD impõe, mas sem desqualificar o que foi feito até agora. Sem disruptar. Apenas incorporar novas diretrizes e ajustar seus processos, sem fazer terra arrasada e sem criar o caos organizacional. A jornada nos leva a uma transição suave, sem rupturas ou conflitos. Utilizar-se de nomenclaturas de “projetos” tende a nos levar a enfrentamentos internos e/ou com parceiros externos de forma contínua, onde alguém tentará impor sua cultura sobre a dos outros. Não entendo que esta seja a melhor estratégia para adequação a LGPD neste momento.

Não podemos impor ao mercado que o mundo da segurança e privacidade da informação só passou a existir a partir da LGPD!

Como assim ? Explico.

Segurança e Privacidade da Informação

Organizações

Todas as organizações, independente de porte, segmento ou geografia, chegaram até este momento, com relação a segurança de privacidade de dados, em suas áreas digitais, porque áreas de TI, compostas de pessoas qualificadas e dedicadas, atuam e praticam conhecimentos diversos, na maior parte derivada de normas internacionais há dezenas de anos. Muitas vezes, são até, de certa forma, incompreendidos por outras áreas de negócio, mas trabalham dentro de um esforço hercúleo em manter a ordem e segurança digital das corporações, muitas vezes contrariando decisões equivocadas, daquilo que, hoje, a LGPD chama de controlador de dados.

Se isso não fosse verdade, o caos cibernético já estaria instalado há muito tempo na sociedade. Simplesmente viver em uma sociedade conectada, em tempo real e global seria impossível. Não é isso que vemos ou percebemos no nosso dia a dia, apesar de termos alguns casos de violação de dados realmente insanos e incompreensíveis! A intensidade tecnológica só aumenta, sem nenhum caos. Então, estas pessoas são fundamentais para o sucesso da adequação da LGPD. Não se pode exclui-las da jornada, muito pelo contrário, são e devem continuar sendo as protagonistas aliadas aos jurídicos, as consultorias, a recursos humanos, a marketing, ao comercial, etc.

Os Dados São Valiosos

Os dados, de forma geral, são um dos bens mais preciosos de uma corporação, circulando dentro e fora da organização, em diferentes formatos e dispositivos, pela interação interna e/ou externa de seus processos gerenciais. Então a proteção de dados, deste bem valioso, trouxe estas organizações até aqui, independente da LGPD. O tema não nasce agora, mas sim, ela pode e deve ser aprimorado com o advento da nova legislação no que concerne a cuidados com dados de pessoas naturais.

Sim, existem, muitas oportunidades de melhoria nas organizações, nas áreas de TI, nas áreas de negócio, quando o assunto é proteger dados pessoais. Eu mesmo faço uma outra pergunta, muitas vezes, a colegas da TI: “Quem protege a empresa da sua própria TI ?”. É uma certeza de que, muitas vezes, os acessos privilegiados dos administradores de dados internos extrapolam a própria integridade e proteção da organização em relação ao poder de um indivíduo.

Sim, existem muitos excessos no que tange a manipulação dos dados pessoais. Eu mesmo odeio ações de telemarketing despropositais e entendo, que com a LGPD, seremos tratados com mais respeito como consumidores.

Excessos e Problemas

Sim, existem muitos casos de vazamento de dados, que colocam em risco muitos titulares de dados sem que estes saibam.

Sim, existem milhares de contratos com prestadores de serviço, clientes e fornecedores que deverão ser ajustados para ampliar a segurança jurídicas destas relações no que tange a privacidade. Isso não quer dizer que os contratos atuais percam sua aplicabilidade.

Acontece que este caos, pintado nos exemplos acima, mesmo que sejam muitos, não são a maioria e não traduzem a capacidade atual já instalada quanto a proteção e segurança dos dados. Não podemos fazer dos maus exemplos, uma terra arrasada para todos!

Temos sim, a necessidade, de iniciar um processo de ajuste de comportamento e de cultura em segurança e privacidade de dados. Sejam pessoais ou não. A LGPD é uma formidável estratégia e chega em ótima hora. Ela é necessária, adequada e ajudará a mover indivíduos e corporações para um outro patamar.

Jornada de Transformação

Acontece que para iniciar uma jornada de transformação, que envolva toda a organização, precisamos de planejamento, organização, engajamento, motivação e ação. Não precisamos de incendiários com lança chamas gerando controvérsias, promovendo conflitos de teses para comercialização de serviços. Precisamos de serenidade, união, múltiplos conhecimentos, para que saibamos o que é crítico, o que é urgente e os passos a serem dados, de acordo com a maturidade e o segmento da atividade de cada empreendimento.

Não se muda a cultura de uma corporação por decreto

Não se muda a cultura de uma corporação por decreto. A ampla gama de organizações não está satisfeita com as implementações do tema segurança da informação em seu ambiente interno, mesmo antes da LGPD, pois ocorre uma falta de entendimento e alinhamento entre seus colaboradores. A nova lei pode ajudar nisso.

Uma grande massa de profissionais, por exemplo, citando um fato bem pontual, não gosta de que seus dispositivos móveis tenham suas portas “usb” bloqueadas para cópias de informações para pen-drives. Gostando ou não, esta é uma das milhares de diretrizes e premissas basilares das boas práticas de segurança e privacidade dados. Como lidar com esta rejeição organizacional e como contorná-la ?

É preciso um linguajar personalizado por área e lideranças engajadoras alinhadas à cultura organizacional. Isso é importante para que estes possam replicar internamente e fortalecer os traços da cultura de segurança da informação ou LGPD, como queiram, pois são eles os responsáveis por disseminar e garantir o comportamento desejado a todas as suas equipes. Não conheço empresa externa que consiga fazer isso sozinha, sem a ajuda interna da própria corporação e de uma equipe multidisciplinar ciente da sua responsabilidade.

Jornada da LGPD

Jornada da LGPD

A jornada da LGPD, para ter êxito, precisa passar por uma série de rituais, não técnicos, não jurídicos, mas típicos e necessários na gestão de pessoas ( o tal fator humano). Nenhuma nova cultura consegue ser experimentada sem estes rituais abaixo:

Rituais de passagem da LGPD:

Simbolizam o antes e depois. Isso acontece apresentando como as rotinas de trabalho eram realizadas antes e os motivos das mudanças para garantir a adequação a LGPD; Quem, quando e como faremos isso?

Rituais de conhecimento:

Premiações, reconhecimentos, podem ser utilizados como incentivo aos colaboradores. Um reconhecimento simbólico pode provocar grandes transformações. A “gamificação” com base nos fundamentos legais e técnicos, pode ser uma grande aliada no processo de aceleração na implementação destes novos padrões de cultura de segurança e privacidade;

Rituais de integração:

eventos internos, como festas de fim de ano, aniversários, churrascos de integração, etc podem ser aliados para harmonizar as equipes, criar novas dinâmicas e disseminar conhecimento e importância da LGPD;

Rituais de renovação:

são os momentos, tradicionalmente reuniões, que têm como foco captar melhorias e definir novos caminhos para a jornada de segurança e privacidade. São importantes para reforçarem conceitos ou acertos no acompanhamento de melhorias dos processos organizacionais; Estes momentos são cíclicos e contínuos dentro de uma legislação que é nova, sem ainda grandes regulamentações, que levará a criação de novas legislações ( por exemplo, códigos sobre aplicação da inteligência artificial futuramente) dentro de alguns anos. Definitivamente, não estamos embarcando em um projeto que tem início, meio e fim.

Rituais de degradação:

são os momentos utilizados para remover o poder ou retirar um membro da organização ou do comitê multidisciplinar que está desagregando na caminhada. São momentos que devem ser utilizados para reforçar as exigências e importância da nova política de segurança e privacidade de dados. O alinhamento coletivo é importante para a jornada.

Rituais de sucesso da LGPD:

são aqueles sagas contadas e repetidas, internamente e/ou externamente, como eventos de sucesso, individual ou coletivo que mostram o quanto as ações de implantação geraram efeitos positivos. A força da comunicação positiva se torna um vetor e indutor de mudanças comportamentais e de engajamento as boas práticas que a LGPD trouxer.

A jornada da LGPD não terá um fim em si mesma. Afinal, a cultura da segurança e privacidade de dados somente estará inserida na cultura organizacional quando ela se tornar parte da rotina diária de todos. E este será um desafio coletivo de muito tempo.

A minha dica número 1(um) é : comece a jornada da LGPD o mais rápido possível, sem atropelos, sem stress, sem açodamento ou precipitação, mas comece. O primeiro passo é sempre o mais difícil, o resto é a consequência das suas ações, mas jamais relativize o fator humano dentro desta jornada. Ele é que vai garantir o seu sucesso!

Até o próximo artigo e bons negócios a todos !

FONTE: artigo original de Reges Bronzatti.

PS: Entre em contato conosco e descubra como ficar em conformidade com a LGPD clicando aqui!

Inscreva-se no 6º Congresso Nacional Online de Engenharia Mecânica e Automação! (de 06 a 08/10/2025)