Ainda é comum encontrar empresas dizendo que estão se adequando à Lei Geral de Proteção de Dados apenas com a aquisição de plataformas de privacidade, por meio das quais fazem o data mapping, a elaboração de políticas, indicam as bases legais de tratamento e outras providências. Simples assim, como se o preenchimento de um formulário, por mais extenso que seja, assegurasse a conformidade legal e o atendimento aos direitos e garantias fundamentais dos titulares de proteção de dados pessoais.
O data mapping, ou inventário de dados, pode ser realizado por empresas de consultoria ou por equipes internas da organização. Quando são times internos que o fazem, muitas vezes essa atividade fica nas mãos da TI. Outras vezes, é o time do jurídico que o faz.
Lendo o livro do filósofo Mario Sergio Cortella, Por Que Fazemos O Que Fazemos?, entendi que tudo o que fiz antes em minha vida profissional me levou àquela reunião, em que o CEO da empresa me perguntou: – Você está entendendo agora por que você foi chamada para essa reunião?
Naquele março de 2019 eu coordenava uma equipe de analistas que mapeava e automatizava processos de negócios, segundo a disciplina gerencial Business Process Management (BPM). Um coordenador de TI havia convocado um comitê para discutir sobre a Lei 13.709/2018, publicada uns meses antes e com data prevista para entrar em vigor em breve. Segundo ele, era uma lei que dispunha sobre o tratamento de dados pessoais e seriam necessárias adequações em nosso ambiente lógico para que pudéssemos garantir a conformidade com a legislação – a começar pelo mapeamento de dados, justamente a expertise da equipe de Processos.
Assim começou uma jornada fantástica do time de analistas de processos. Nos meses seguintes, definimos o plano de ação com base em requisitos de gestão de projetos, selecionamos a amostra a ser inventariada, esclarecemos o board da empresa, pinçamos os líderes que nos apoiariam, definimos os check lists das entrevistas, entrevistamos centenas de colaboradores e desenhamos os fluxos de dados pessoais.
Obviamente que, enquanto tudo isso acontecia, estudamos a LGPD para saber o que estávamos fazendo, explicamos aos colaboradores entrevistados e demais envolvidos o porquê daquilo tudo, revisamos processos, ajustamos à LGPD o que era urgente, adequamos contratos, analisamos processos ponta a ponta, conhecemos ainda mais a organização, identificamos gargalos em processos e vulnerabilidades em segurança que eram corrigidas imediatamente e, assim, fomos aculturando a organização e fortalecendo um ecossistema de proteção de dados pessoais que já existia.
Depois? Ah, sim! Contratamos uma consultoria para fazer o assessment, adquirimos uma plataforma de privacidade, treinamos colaboradores e tudo o mais.
Ao final dessa trajetória percebemos que a decisão de colocar o data mapping nas mãos do time de processos foi a decisão mais acertada. Quem mapeia processos vê e entende por onde transitam os dados pessoais de uma corporação, tem a visão geral da arquitetura do negócio.
Acredite, não adianta pular etapas e aplicar um formulário achando que vai atender uma legislação complexa e transversal como a LGPD. Chame profissionais que entendem onde está o tratamento dos dados pessoais: nos processos de negócio.
Gostou do artigo? Leia outro texto da mesma autora sobre o 1º Encontro ANPD de Encarregados.
