

A LGPD em tempos de home-office
Abril de 2020 –
muito provavelmente, nem em nossos piores pesadelos, o momento atual com a
COVID-19 teria sido imaginado e o impacto que isso teria em nossas vidas. Para
uma parcela da sociedade, reduzida, com certeza, o trabalho de home-office virou hábito e garante que muitas organizações,
neste momento, estejam ativas no mercado.
E então surgem
as perguntas fatais: Mas e a LGPD não vai ser prorrogada? Será que vamos
conseguir atender o prazo que ela nos obriga? As adequações não irão paralisar já que todos
os colaboradores estão em casa?
O simples fato
de um ser humano, hoje, neste momento, poder estar em casa, seguro, saudável,
com emprego e poder trabalhar em home office já é uma benção e não
deveria ser desperdiçada com procrastinações. Podemos e devemos fazer a
economia girar, mesmo estando em casa. Aliás, o Professor Piers Steel, da
Universidade de Calgary, em 2007, publicou um artigo muito interessante que
identifica as causas da procrastinação dos seres humanos: a principal delas é a
aversão a tarefa que deverá ser realizada, além da impulsividade, distração e a
sua motivação em relação a tal atividade.
Então o que a
LGPD tem a ver com procrastinação? Bom, tarefas chatas são uma das principais
causas da procrastinação, porque exigem que você faça algo que não quer. Por
isso todas as vezes que você tem que limpar aquele quarto bagunçado você
prefere ficar sentado lendo um livro, monitorando redes sociais ou
assistindo um filme. Por estarmos sempre procurando uma recompensa imediata,
preferimos estar fazendo o que gostamos e não, necessariamente, o que
deveríamos.
Fazer a LGPD acontecer é chato, então? Sim, é
muito chato para pessoas que não são disciplinadas no seu dia a dia, que são impulsivas, que gostam de fazer do seu
jeito, sem método, fazer o que dá vontade, só fazer o que gostam e que não conseguem trabalhar, colaborativamente,
em equipe. Parece ou não parece o dia a dia de muitos, trabalhando, em home-office?
Sim, até para trabalho em home-office precisamos de um mínimo de
organização e disciplina.
Dirão alguns: “Isso
só comprova que será impossível levar adiante processos de adequação a LGPD, em
tempos de home-office, pois os colaboradores da nossa empresa não conseguirão
engajar os responsáveis e dar foco a eles para evoluirmos. Vamos ter que parar
o processo!”
Uma das
maneiras de evitar a afirmação anterior é disciplinar as ações, criar um
método, uma agenda pessoal e um tempo para executá-la, mesmo em ambiente de home-office.
Se a organização estiver com um plano de trabalho de adequação bem estruturado,
ela não precisa frear o processo, mesmo com seus colaboradores trabalhando de
casa.
O problema é
que as organizações, na sua grande maioria, não possuem nenhum plano de
trabalho ou método para seguirem com a devida adequação. Sem mencionar o fato
que há uma carência de liderança interna sobre o tema.
Outros afirmarão:
“ Em tempos de crise, LGPD é um dos últimos assuntos que devemos nos
preocupar. Temos que dar foco no que é essencial, neste momento”.
Provavelmente,
o discurso acima é muito similar ao que se fazia, recentemente, sobre
transformação digital. Vamos nos tornar digitais, vamos disruptar, vamos
transformar modelo de negócios, etc. Era o mantra de 9 em cada 10 congressos ou
seminários sobre o tema. Poucos faziam acontecer. Só que agora, uma crise
meteórica obrigou milhares de empresas e pessoas a serem digitais, a forcéps,
na oferta, nos pedidos, no faturamento
dos seus produtos e serviços e, inclusive, em eventos, que passaram a ter mais
público no ambiente virtual, através de webminars, do que
presencialmente. Tudo isso em questão de dias ou horas. Incrível, não? Não foi
o CEO, nem o CMO, muito menos o CIO que revolucionou como as pessoas deveriam
trabalhar; Foi um vírus real, perigoso e de altíssima propagação que criou uma
nova necessidade para a sobrevivênvia dos negócios.
De certa forma,
era o próprio ser humano que lutava contra a transformação digital, mesmo
sabendo que era fundamental. Lembro de um velho ditado: “Façam o que eu
digo, mas não façam o que eu faço”. Muitas empresas irão a falência, nos
próximos meses, porque não souberam fazer isso no tempo devido, graças ao seu
CEO, CMO, CFO ou CIO. Não existia crise, então para que mexer em time que está
ganhando? O mesmo acontece com a LGPD, pois ela veio para tentar mudar o
comportamento do ser humano em um campo da nossa vida cotidiana: a segurança
dos dados pessoais; Mas passados mais de 18 meses da publicação da lei, poucos
fizeram a lição de casa. Então a procrastinação da adequação da LGPD não
acontece, necessariamente pela crise. Ela já vinha acontecendo há bom tempo.
Neste momento,
milhões de pessoas estão trabalhando em home-office, fazendo tratamento
de dados e armazenando planilhas de colaboradores, clientes, fornecedores, em
seus desktops, onde, até ontem, o filho jogava videogame com os amigos,
que podem estar infectados com spyware ou ransomware se não protegido e
que simplesmente poderão copiar estes dados e coloca-los a disposição para
comercialização na deepweb em questão de dias.
Cadê a
segurança da informação do home-office? Nossos colaboradores que estão
emitindo as notas fiscais da empresa estão realmente protegidos? Absurdamente, nossas empresas, agora, com a
crise do covid-19, multiplicaram a capacidade
de exposição e insegurança digital. O mundo digital realmente está sendo posto
a prova!
Então isso, sim,
é assunto para acelerar o processo de adequação a LGPD e não procrastinar, como
a maioria pensa. Estamos falando de
manter a continuidade dos negócios de milhões de empresas, onde as pontas estão
expostas a ataques cibernéticos que poderão realmente paralisar os negócios e
ampliarem o tsunami da crise econômica.
Então deixem
eu ajudar, a quem estiver lendo este artigo, a não procrastinarem mais a
atividade de adequação à LGPD, independente se a entrada em vigência da lei
será prorrogada ou não. Para terem uma visão mais prática: um processo
presencial para adequar a LGPD, demora, de ponta a ponta, na média, entre 12 e
18 meses. Nada melhor do que acelerar, neste momento e ganhar meses de
trabalho, assim que a situação voltar a rotina normal de nossas vidas.
Vou abordar
apenas 5 ações simples, que podem ser executadas, integralmente, em regime de home-office,
na fase do diagnóstico, de um plano de trabalho hipotético. Eu particularmente,
trabalho, nas minhas mentorias e consultorias com 5(cinco) macro etapas. Neste
caso, vou apenas abordar a fase 2, que é onde a maioria das organizações
brasileiras está paralisada neste momento,
ou seja, realizar o seu assessment dos processos de negócio.
Veja que
nenhuma das ações sugeridas abaixo exige a presença física das pessoas no mesmo
ambiente de trabalho. Uma boa ferramenta tecnológica, boa vontade, colaboração,
motivação e disciplina resolve tudo. E claro, uma boa xícara e café para manter
a atenção redobrada:
1.
Montagem do Comitê Multidisciplinar:
escolham, dentro da organização, os principais líderes, dos principais
processos de negócio que tratam dados pessoais. Leva, para uma pessoa bem organizada
e que conheça a empresa, de 30 a 45minutos para esta definição. Na sequência,
agende um momento para uma reunião virtual com este time que vai liderar as
ações presentes no plano de trabalho; Talvez uma agenda recorrente, semanal,
seja mais do que perfeito para este time; Esqueça, neste momento, a nomeação de
um DPO ( Data Protection Officer). Muitas organizações estão errando na
abordagem de iniciarem o processo por nomear um encarregado de dados. Em
artigos futuros, abordarei o porquê.
2.
Mapa de calor dos processos críticos: Se
você quiser trabalhar menos futuramente, monte, em uma pesquisa online ( tem n
ferramentas gratuitas na internet para isso) com perguntas estruturadas sobre
que dados as pessoas da sua organização manipulam, em que tipos de processos,
se é de cliente, fornecedor, colaborador, etc, onde armazena, com quem trocam a
informação e quem tem acesso. Não serão mais do que 15 a 20 perguntas ( isso
para quem já conhece a LGPD, obviamente. É bom ter estudado a legislação
antes). Esta pesquisa voçê envia para todas as pessoas da empresa que são
chaves nos processos de tratamento de dados pessoais. As ferramentas gratuitas,
tabulam e entregam relatórios prontos sobre 100% das respostas. Baseado nisso,
voçê seleciona os processos mais críticos e onde vai atuar com mais aprofundamento.
Tudo online e sem levantar da cadeira do seu home-office ( e as pessoas que vão
responder também, certo ?).
3.
Inventário dos processos críticos: Para
os processos mais complexos e que lidam com muitos dados pessoais e que podem
expor a organização, voçê e o comitê, juntamente com os líderes destes
processos ou áreas farão a exploração e investigação com mais criticidade. Como
farão isso ? Novamente com perguntas estruturadas de como funciona o processo,
por onde os dados trafegam, onde são armazenados, quem tem acesso, como são as
transferências de informações internas e/ou externas e que depois são tabuladas
em planilhas ou banco de dados ou ferramentas online, como já citado acima.
Tudo através de reuniões virtuais. Sem presencialidade. Tudo isso será
importante para a confecção do relatório de impacto dentro do plano de trabalho,
futuramente, na fase de ajustes;
4.
Inventário dos contratos críticos da
organização: Quantos contratos vocês acham que uma organização possue ?
entre contratos com clientes, colaboradores, fornecedores , prestadores de
serviço, etc ? Voçês irão descobrir que são milhares e não estou exagerando.
Portanto, se os contratos ainda não estiverem digitalizados, por favor, tem
muito trabalho home-office para ser realizado aqui. Uma vez digitalizados
ficará ainda mais produtivo a classificação e separação dos contratos que
deverão ser ajustados e renegociados, de acordo com as novas diretrizes da
LGPD. Afinal de contas, Controladores e Operadores de dados são solidários em
caso de vazamento de dados e portanto, a melhor forma de regular grau de culpa
ainda é um contrato bem elaborado entre as partes.
5.
Revisão das políticas existentes de segurança
da informação e privacidade: Parece óbvio, mas não é. Um grande massa de
corporações não possui ou já faz muito tempo que não revisou suas políticas
documentadas da segurança da informação (uso da internet, política de troca de
senhas, cópias backup, política de BYOD, etc). Claro, estou partindo da
presunção de que haja uma. Se não houver, então é um trabalho para a liderança
do comitê multidisciplinar começar a olhar modelos de políticas, conversar com
colegas de outras organizações, validar temas essenciais para estarem dentro de
uma política e iniciar um processo de acumulação de dicas e abordagens para
compor a primeira versão da sua política. Em tempos de home-office, este
assunto já deveria estar resolvido há muito, mas o fato dos colaboradores,
agora, estarem, trabalhando dentro de suas residências, com acesso a internet
vulnerável, em desktops pessoais e domésticos, sem os cuidados de uma
política corporativa de segurança reforça a velocidade e agilidade de se criar
mecanismos de blindagem digital para evitar vazamento ou uso indevido de dados,
principalmente, dos próprio colaboradores e seus familiares.
Estas 5 ações práticas acima
consumirão em média, se bem disciplinadas, um prazo de 3 a 4 meses de trabalho.
Tempo mais do que suficiente para tentarmos voltar ao nosso novo normal, de
momentos presenciais com as equipes.
Então, vamos aproveitar o tempo
de home office e encaminhar este processo de adequação a LGPD o mais rápido
possível, pois mesmo que a lei seja postergada, o trabalho ainda estará lá para
ser feito.
Mais cedo ou mais tarde, todos
teremos que enfrentá-lo e nada mais óbvio do que a frase secular de Charles
Darwin sobre a evolução das espécies para enfrentarmos este momento que parece
ser de caos: “Não é o mais forte e nem o mais inteligente que sobrevive, mas
aquele se adapta mais rapidamente!”.
Sejamos os primeiros a nos
adaptarmos a um novo mundo e a um novo paradigma de trabalho, sem
procrastinação.
Até o próximo artigo e bons
negócios a todos!
www.inventeducacao.com.br
atendimentonew@inventrade.com.br
WhatsApp: +55 (11) 99401-9725
Telefone: +55 (11) 3722-1972
Copyright © 2020. Todos os direitos reservados - INVENT Educação - Uma empresa do Grupo FCA Strategy - Vancouver (BC / Canadá)
Wouldn't it be a good idea to create a course?