LGPD: Lições aprendidas e armadilhas comuns na escolha de uma inciativa para adequação

LGPD: Lições aprendidas e armadilhas comuns na escolha de uma inciativa para adequação

William Bianchi Tavares William Bianchi Tavares

William Bianchi Tavares

CTO@NGXit | Cybersecurity | Information Security | IT & Communications | Project Management

Publicado em 4 de mai. de 2020
+ Siga

Ouça sem julgar! Este é o principal ponto para entender corretamente o comportamento do mercado. 

Durante os ininterruptos meses de reuniões, apresentações, projetos, eventos e, conversas informais sobre LGPD neste último um ano e meio, a LGPDTaskForce nos ensinou muito.

Evitar aquele 'frenesi' comercial e, ao contrário, levar conteúdo para os clientes e praticar a escuta ativa foi muito valioso: nos gerou muitos insumos com informações relevantes!

Estes insumos foram importantes não só para que atingíssemos a excelência e criássemos uma metodologia vencedora para adequação aos requisitos da lei, mas também serviu para entendermos ainda mais sobre a dores das empresas que visitávamos e entendermos o comportamento do mercado.

Mas vamos logo ao ponto!

Neste zoológico de iniciativas composto por tubarão com cabeça de sardinha ou jaguar com pace de tartaruga (como melhor desejar), foi possível identificar pontos comuns e extremamente importantes que muitos decisores tinham dúvidas ou não levaram em consideração na escolha de uma iniciativa para adequação aos requisitos da LGPD e tiveram resultados terríveis: de fato compraram gato por lebre!

Não estou aqui pra julgar ninguém e nem quero, mas vejo como obrigação da minha parte compartilhar este conhecimento compilado pra que todos possam fazer os comparativos corretos e evitar 'bolas na trave' no futuro. 

É muito duro (pra não dizer indignante) ver que algumas empresas investiram o pouco do orçamento que tinham em trabalhos que não atingiram o resultado esperado/necessário e depois acabam nos procurando para fazer tudo novamente.

Começar de novo nunca é uma tarefa fácil... E custa caro!

Desta forma, compilei em 6 lições aprendidas/armadilhas que todos devem ficar atentos. Espero que seja útil :)


(1) Santo que joga sozinho não faz milagre

Uma única empresa não conseguirá atuar em todos os pilares necessários.

Como exemplo, sabe-se que é impossível um escritório de advocacia avaliar corretamente os controles Segurança da Informação e que uma empresa de TI/Segurança jamais conseguirá fazer análise de contratos da forma adequada.

Lembre-se, ainda, que a etapa de diagnóstico vai dar todo o direcionamento das ações corretivas!

Começar errado significa potencializar o erro no final.

Sugestão

  • Procure um time multidisciplinar. Uma estrutura robusta é fundamental para que todas as frentes de trabalho estejam amparadas.


(2) O fantasma das iniciativas de um homem só

Uma pessoa sozinha não tem todos os skills e nem o tempo exigido por um trabalho tão intenso

Consultores renomados costumam se lançar no mercado lastreados pela sua grande e estonteante bagagem ou pelas incontáveis certificações que possuem, porém não possuem 'braço' suficiente para conduzir todas as demandas de forma simultânea.

Paralelamente a isto, a diversidade de assuntos tratados em uma adequação à LGPD vai muito além da amplitude do conhecimento de uma única pessoa.

São muitas áreas de conhecimento e pode haver, inclusive, um compartilhamento de atividades com iniciantes que sequer estão preparados.

Sugestão

  • Questione o quanto for necessário para entender detalhes da estrutura corporativa da iniciativa.
  • Peça o currículo individual de cada integrante para avaliar a maturidade e experiência do time que conduzirá as atividades.
  • Entenda se a iniciativa já não está saturada e se tem fôlego suficiente pra iniciar mais um projeto.


(3) Os aventureiros cegos e a saga dos projetos rasos

Vilã dos orçamentos, as entregas sem profundidade geram retrabalho e custos dobrados.

A falta de profundidade, principalmente na etapa de diagnóstico (GAP Analysis), pode fazer com que a criação de planos de ação para a execução posterior se tornem um dor de cabeça enorme por não ter as proposições de melhorias claras e lastreadas na lei.

De forma prática, esta é uma das principais lamentações daqueles que contrataram iniciativas que não estavam preparadas (não possuíam uma metodologia consistente) ou, ainda, daqueles que fecharam o projeto pelo renome da consultoria.

Pasmem! Mesmo algumas das grandes consultorias globais (as famosas Big Four) têm sido criticadas por entregas sem a granularidade necessária/adequada. Não preciso nem falar do valor investido...

Sugestão

  • Sempre verifique os entregáveis! Não fique somente na promessa.
  • Avalie os documentos e peça para ver exemplos (devidamente mascarados/embaralhados ou até com dados fake).
  • Questione as recomendações comumente feitas e entenda de que forma elas são pontuadas (a nível de detalhe e profundidade).


(4) Um cardápio diversificado... e que pode ser indigesto

O deep dive na metodologia é mais do que necessário para garantir entregas de qualidade 

Frequentemente nos deparamos com empresas que não sabem quais critérios utilizar na avaliação das iniciativas de adequação à LGPD. Nestes casos, acabamos atuando de forma orientativa antes mesmo de iniciar qualquer atividade de projeto.

Não existe receita de bolo! Muitas coisas ainda não estão definidas por falta da ANPD e cada iniciativa abordará de uma forma. Cabe à empresa contratante comparar os formatos de trabalho (questionário, entrevista, formulário, etc.) e escolher a metodologia mais adequada com valor de investimento razoável.

E a cultura organizacional? Está sendo levada em consideração? Ponto muito importante aqui! Uma empresa pode responder muito bem a um trabalho baseado em questionários, enquanto outras não.

Sugestão

  • Avalie o formato de diagnóstico: desconfie de metodologias baseadas apenas em questionários e formulários, pois os resultados pode ficar longe da realidade.
  • Criar uma tabela simples de comparativo com as key activities, os deliverables, a estrutura, o time e a disponibilidade de cada iniciativa é uma ótima opção para balizar.


(5) Remoto também funciona

Isolamento social não significa pé no freio

Diante das indefinições e/ou decisões equivocadas do governo federal com relação aos Projetos de Lei e às Medidas Provisórias que estão tramitando para tentar prorrogar o início da vigência da LGPD, ainda surgiu a pandemia e o isolamento social para completar o cenário de incertezas. Mas mais do nunca a adequação à LGPD se tornou essencial em razão do trabalho remoto e das respectivas proteções que precisam ser observadas.

Algumas empresas que estavam com projetos de adequação em andamento ou por iniciar tomaram a decisão de seguir em frente utilizando tecnologias de reuniões remotas e estão sendo muito bem sucedidas.

Pode seguir sem medo! Funciona muito bem, sim!

Sugestão

  • As dificuldades de comunicação decorrentes do trabalho remoto podem ser superadas por ferramentas de colaboração como o Microsoft Teams, por exemplo, que funciona como uma espécie de 'WhatsApp corporativo', centralizando toda comunicação e os repositórios de arquivos do projeto.


(6) O raríssimo caso das iniciativas com case de sucesso

Peça referências. Ninguém coloca a mão no fogo por algo que não é bom.

Muitas iniciativas falam que estão trabalhando e entregando projetos, mas, de fato, os cases que realmente tiveram sucesso e que deixaram o cliente satisfeito são objetos em escassez no mercado.

A melhor forma de aferir se a iniciativa realmente tem maturidade e é capaz de entregar aquilo que se propõe é ouvindo quem já passou ou está passando pela experiência.

Sugestão

  • Peça referências de projetos anteriores e entre em contato com os responsáveis. Ninguém mente neste tipo de feedback.


Conclusão

De forma simples e objetiva, é preciso ficar atento ao que o mercado está oferecendo, pois são incontáveis os casos de empresas arrependidas e com o sentimento de que 'jogaram dinheiro fora'.

É preciso ter atenção e definir critérios claros para a escolha de um parceiro que consiga realizar um trabalho realmente holístico dentro da organização e que tenha plenas condições de dar continuidade no assunto.

Para aqueles que possuem maior maturidade, um processo de RFP ajuda muito neste contexto. Já para quem não segue esta prática, é melhor ficar atento e direcionar o seu orçamento para uma iniciativa que faça entregas consistentes, efetivas e detalhadas o suficiente para que o trabalho possa continuar (tornar-se um processo).


Sobre a LGPDTaskForce

Observando os movimentos de diversas iniciativas com foco em LGPD (as quais focavam seus esforços somente nos princípios ligados à área jurídica e/ou segurança da informação), a LGPDTaskForce percebeu uma grande oportunidade de inovar e proporcionar aos seus clientes uma visão holística envolvendo todas as áreas de negócio, visando um processo de adequação consistente e focado na cultura da privacidade.

Nos intitulamos um grupo multidisciplinar focado na adequação aos requisitos da Lei Geral de Proteção de Dados (LGPD) composto pelas empresas FCL Advocacia, DropReal, NGXit e Rangel Sistemas.

Site oficial da iniciativa: www.LGPDTaskForce.com.br


Guilherme de Oliveira

Tech Lawyer| Compliance| Governance Officer| CPIIC - LEC/FGV | PDPELGPD - EXIN | Postgraduate Professor| Startups | Director Guilherme Oliveira e Associados - Advocacia Coporativa | DPO | M&A | Developer and Data Analyst

1 m

Obrigado por compartilhar!

Gostei
Responder
Marcelo Fontana

Senior Network Security Analyst

3 a

Excelente artigo, considerações muito bem colocadas, parabéns 👊.

Gostei
Responder
1  Reação
Lorran Garcia

Analista de Segurança da Informação na Compass.uol

4 a

Parabéns William pelo artigo, ótimas considerações! Parabéns também a todo time pela iniciativa da LGPDTaskForce!

Gostei
Responder
2  Reações
Aline Maia

Estrategista Digital

4 a

Show!!! Parabéns, William!

Gostei
Responder
1  Reação
Ver mais comentários

Entre para ver ou adicionar um comentário

Outras pessoas também visualizaram

Conferir tópicos