A LGPD em tempos de home-office

Abril de 2020 – muito provavelmente, nem em nossos piores pesadelos, o momento atual com a COVID-19 teria sido imaginado e o impacto que isso teria em nossas vidas. Para uma parcela da sociedade, reduzida, com certeza, o trabalho de home-office  virou hábito e garante que muitas organizações, neste momento, estejam ativas no mercado.

E então surgem as perguntas fatais: Mas e a LGPD não vai ser prorrogada? Será que vamos conseguir atender o prazo que ela nos obriga?  As adequações não irão paralisar já que todos os colaboradores estão em casa?  

O simples fato de um ser humano, hoje, neste momento, poder estar em casa, seguro, saudável, com emprego e poder trabalhar em home office já é uma benção e não deveria ser desperdiçada com procrastinações. Podemos e devemos fazer a economia girar, mesmo estando em casa. Aliás, o Professor Piers Steel, da Universidade de Calgary, em 2007, publicou um artigo muito interessante que identifica as causas da procrastinação dos seres humanos: a principal delas é a aversão a tarefa que deverá ser realizada, além da impulsividade, distração e a sua motivação em relação a tal atividade.

Então o que a LGPD tem a ver com procrastinação? Bom, tarefas chatas são uma das principais causas da procrastinação, porque exigem que você faça algo que não quer. Por isso todas as vezes que você tem que limpar aquele quarto bagunçado você prefere ficar sentado lendo um livro, monitorando redes sociais ou assistindo um filme. Por estarmos sempre procurando uma recompensa imediata, preferimos estar fazendo o que gostamos e não, necessariamente, o que deveríamos.

 Fazer a LGPD acontecer é chato, então? Sim, é muito chato para pessoas que não são disciplinadas no seu dia a dia,  que são impulsivas, que gostam de fazer do seu jeito, sem método, fazer o que dá vontade, só fazer o que gostam e  que não conseguem trabalhar, colaborativamente, em equipe. Parece ou não parece o dia a dia de muitos, trabalhando, em home-office? Sim, até para trabalho em home-office precisamos de um mínimo de organização e disciplina.

Dirão alguns: “Isso só comprova que será impossível levar adiante processos de adequação a LGPD, em tempos de home-office, pois os colaboradores da nossa empresa não conseguirão engajar os responsáveis e dar foco a eles para evoluirmos. Vamos ter que parar o processo!”

Uma das maneiras de evitar a afirmação anterior é disciplinar as ações, criar um método, uma agenda pessoal e um tempo para executá-la, mesmo em ambiente de home-office. Se a organização estiver com um plano de trabalho de adequação bem estruturado, ela não precisa frear o processo, mesmo com seus colaboradores trabalhando de casa.

O problema é que as organizações, na sua grande maioria, não possuem nenhum plano de trabalho ou método para seguirem com a devida adequação. Sem mencionar o fato que há uma carência de liderança interna sobre o tema.

Outros afirmarão: “ Em tempos de crise, LGPD é um dos últimos assuntos que devemos nos preocupar. Temos que dar foco no que é essencial, neste momento”.

Provavelmente, o discurso acima é muito similar ao que se fazia, recentemente, sobre transformação digital. Vamos nos tornar digitais, vamos disruptar, vamos transformar modelo de negócios, etc. Era o mantra de 9 em cada 10 congressos ou seminários sobre o tema. Poucos faziam acontecer. Só que agora, uma crise meteórica obrigou milhares de empresas e pessoas a serem digitais, a forcéps,  na oferta, nos pedidos, no faturamento dos seus produtos e serviços e, inclusive, em eventos, que passaram a ter mais público no ambiente virtual, através de webminars, do que presencialmente. Tudo isso em questão de dias ou horas. Incrível, não? Não foi o CEO, nem o CMO, muito menos o CIO que revolucionou como as pessoas deveriam trabalhar; Foi um vírus real, perigoso e de altíssima propagação que criou uma nova necessidade para a sobrevivênvia dos negócios.

De certa forma, era o próprio ser humano que lutava contra a transformação digital, mesmo sabendo que era fundamental. Lembro de um velho ditado: “Façam o que eu digo, mas não façam o que eu faço”. Muitas empresas irão a falência, nos próximos meses, porque não souberam fazer isso no tempo devido, graças ao seu CEO, CMO, CFO ou CIO. Não existia crise, então para que mexer em time que está ganhando? O mesmo acontece com a LGPD, pois ela veio para tentar mudar o comportamento do ser humano em um campo da nossa vida cotidiana: a segurança dos dados pessoais; Mas passados mais de 18 meses da publicação da lei, poucos fizeram a lição de casa. Então a procrastinação da adequação da LGPD não acontece, necessariamente pela crise. Ela já vinha acontecendo há bom tempo.

Neste momento, milhões de pessoas estão trabalhando em home-office, fazendo tratamento de dados e armazenando planilhas de colaboradores, clientes, fornecedores, em seus desktops, onde, até ontem, o filho jogava videogame com os amigos, que podem estar infectados com spyware ou ransomware se não protegido e que simplesmente poderão copiar estes dados e coloca-los a disposição para comercialização na deepweb em questão de dias.

Cadê a segurança da informação do home-office? Nossos colaboradores que estão emitindo as notas fiscais da empresa estão realmente protegidos?  Absurdamente, nossas empresas, agora, com a crise do covid-19,  multiplicaram a capacidade de exposição e insegurança digital. O mundo digital realmente está sendo posto a prova!

Então isso, sim, é assunto para acelerar o processo de adequação a LGPD e não procrastinar, como a maioria pensa.  Estamos falando de manter a continuidade dos negócios de milhões de empresas, onde as pontas estão expostas a ataques cibernéticos que poderão realmente paralisar os negócios e ampliarem o tsunami da crise econômica.

Então deixem eu ajudar, a quem estiver lendo este artigo, a não procrastinarem mais a atividade de adequação à LGPD, independente se a entrada em vigência da lei será prorrogada ou não. Para terem uma visão mais prática: um processo presencial para adequar a LGPD, demora, de ponta a ponta, na média, entre 12 e 18 meses. Nada melhor do que acelerar, neste momento e ganhar meses de trabalho, assim que a situação voltar a rotina normal de nossas vidas.

Vou abordar apenas 5 ações simples, que podem ser executadas, integralmente, em regime de home-office, na fase do diagnóstico, de um plano de trabalho hipotético. Eu particularmente, trabalho, nas minhas mentorias e consultorias com 5(cinco) macro etapas. Neste caso, vou apenas abordar a fase 2, que é onde a maioria das organizações brasileiras está paralisada neste momento,  ou seja, realizar o seu assessment dos processos de negócio.

Veja que nenhuma das ações sugeridas abaixo exige a presença física das pessoas no mesmo ambiente de trabalho. Uma boa ferramenta tecnológica, boa vontade, colaboração, motivação e disciplina resolve tudo. E claro, uma boa xícara e café para manter a atenção redobrada:

1.       Montagem do Comitê Multidisciplinar: escolham, dentro da organização, os principais líderes, dos principais processos de negócio que tratam dados pessoais. Leva, para uma pessoa bem organizada e que conheça a empresa, de 30 a 45minutos para esta definição. Na sequência, agende um momento para uma reunião virtual com este time que vai liderar as ações presentes no plano de trabalho; Talvez uma agenda recorrente, semanal, seja mais do que perfeito para este time; Esqueça, neste momento, a nomeação de um DPO ( Data Protection Officer). Muitas organizações estão errando na abordagem de iniciarem o processo por nomear um encarregado de dados. Em artigos futuros, abordarei o porquê.

2.       Mapa de calor dos processos críticos: Se você quiser trabalhar menos futuramente, monte, em uma pesquisa online ( tem n ferramentas gratuitas na internet para isso) com perguntas estruturadas sobre que dados as pessoas da sua organização manipulam, em que tipos de processos, se é de cliente, fornecedor, colaborador, etc, onde armazena, com quem trocam a informação e quem tem acesso. Não serão mais do que 15 a 20 perguntas ( isso para quem já conhece a LGPD, obviamente. É bom ter estudado a legislação antes). Esta pesquisa voçê envia para todas as pessoas da empresa que são chaves nos processos de tratamento de dados pessoais. As ferramentas gratuitas, tabulam e entregam relatórios prontos sobre 100% das respostas. Baseado nisso, voçê seleciona os processos mais críticos e onde vai atuar com mais aprofundamento. Tudo online e sem levantar da cadeira do seu home-office ( e as pessoas que vão responder também, certo ?).

3.       Inventário dos processos críticos: Para os processos mais complexos e que lidam com muitos dados pessoais e que podem expor a organização, voçê e o comitê, juntamente com os líderes destes processos ou áreas farão a exploração e investigação com mais criticidade. Como farão isso ? Novamente com perguntas estruturadas de como funciona o processo, por onde os dados trafegam, onde são armazenados, quem tem acesso, como são as transferências de informações internas e/ou externas e que depois são tabuladas em planilhas ou banco de dados ou ferramentas online, como já citado acima. Tudo através de reuniões virtuais. Sem presencialidade. Tudo isso será importante para a confecção do relatório de impacto dentro do plano de trabalho, futuramente, na fase de ajustes;

4.       Inventário dos contratos críticos da organização: Quantos contratos vocês acham que uma organização possue ? entre contratos com clientes, colaboradores, fornecedores , prestadores de serviço, etc ? Voçês irão descobrir que são milhares e não estou exagerando. Portanto, se os contratos ainda não estiverem digitalizados, por favor, tem muito trabalho home-office para ser realizado aqui. Uma vez digitalizados ficará ainda mais produtivo a classificação e separação dos contratos que deverão ser ajustados e renegociados, de acordo com as novas diretrizes da LGPD. Afinal de contas, Controladores e Operadores de dados são solidários em caso de vazamento de dados e portanto, a melhor forma de regular grau de culpa ainda é um contrato bem elaborado entre as partes.

5.       Revisão das políticas existentes de segurança da informação e privacidade: Parece óbvio, mas não é. Um grande massa de corporações não possui ou já faz muito tempo que não revisou suas políticas documentadas da segurança da informação (uso da internet, política de troca de senhas, cópias backup, política de BYOD, etc). Claro, estou partindo da presunção de que haja uma. Se não houver, então é um trabalho para a liderança do comitê multidisciplinar começar a olhar modelos de políticas, conversar com colegas de outras organizações, validar temas essenciais para estarem dentro de uma política e iniciar um processo de acumulação de dicas e abordagens para compor a primeira versão da sua política. Em tempos de home-office, este assunto já deveria estar resolvido há muito, mas o fato dos colaboradores, agora, estarem, trabalhando dentro de suas residências, com acesso a internet vulnerável, em desktops pessoais e domésticos, sem os cuidados de uma política corporativa de segurança reforça a velocidade e agilidade de se criar mecanismos de blindagem digital para evitar vazamento ou uso indevido de dados, principalmente, dos próprio colaboradores e seus familiares.

Estas 5 ações práticas acima consumirão em média, se bem disciplinadas, um prazo de 3 a 4 meses de trabalho. Tempo mais do que suficiente para tentarmos voltar ao nosso novo normal, de momentos presenciais com as equipes.

Então, vamos aproveitar o tempo de home office e encaminhar este processo de adequação a LGPD o mais rápido possível, pois mesmo que a lei seja postergada, o trabalho ainda estará lá para ser feito.

Mais cedo ou mais tarde, todos teremos que enfrentá-lo e nada mais óbvio do que a frase secular de Charles Darwin sobre a evolução das espécies para enfrentarmos este momento que parece ser de caos: “Não é o mais forte e nem o mais inteligente que sobrevive, mas aquele se adapta mais rapidamente!”.

Sejamos os primeiros a nos adaptarmos a um novo mundo e a um novo paradigma de trabalho, sem procrastinação.

Até o próximo artigo e bons negócios a todos!