Por Jefferson Kiyohara*
Em razão da Lei
Geral de Proteção de Dados Pessoais (LGPD), muito se tem falado sobre o DPO
(Data Protection Officer) ou Encarregado de Proteção de Dados. Há diversos
artigos, cursos preparatórios, guias e afins com foco neste profissional, que
ganhará cada vez mais relevância nas organizações brasileiras por ser o
responsável em gerir o Programa de Privacidade e Proteção de Dados Pessoais.
Contudo, outra importante figura não tem recebido o mesmo destaque: o gestor de
projetos, ou PMO (Project Management Office), profissional que garantirá as
adequações necessárias à LGPD, em especial nas médias e grandes empresas.
E quais seriam
as melhorias? Quais os pontos as organizações precisam endereçar para se
adequarem à LGPD? Primeiramente, o processo de adequação inicia-se com um
diagnóstico. É fundamental entender qual o estágio atual da organização em
termos de gestão da privacidade, mapear quais os dados pessoais utilizados e
onde eles estão. A avaliação deve considerar três pilares: legal, TI e
gestão/processos. O produto final será um plano de implantação de melhorias ou
um plano de adequações. É a partir deste momento que o PMO ganha relevância
prática nas empresas.
Um plano de
adequação padrão engloba diversas frentes e envolve múltiplas áreas, como é
típico no compliance. Serão necessários a elaboração e ajustes de normativos,
treinamentos, adequações na infraestrutura de TI, aquisição de ferramentas,
novas parametrizações, revisão de processos e outros. Salvo as organizações que
já se adequaram à lei de privacidade de dados européia (GDPR - General Data
Protection Regulation) ou que possuem um nível de maturidade alto na gestão da
privacidade, as demais terão um plano de adequação robusto e amplo.
Neste cenário,
o PMO terá grande utilidade devido à sua experiência em gestão de projetos. Sua
capacidade de estruturar atividades de forma sequencial, respeitando
interdependências, identificar, tratar gargalos e caminhos críticos, trabalhar
com times multifuncionais e fazer follow up junto às áreas responsáveis,
elaborar dashboard e relatórios de acompanhamento, fará grande diferença no
sucesso da organização em tratar os seus gaps e conseguir estar adequada à
LGPD. São processos novos e revisados que precisarão ser estabelecidos e
formalizados.
O papel de PMO poderá
ser realizado internamente, quando as organizações possuem profissionais com
tal expertise, ou mesmo terceirizados, seja numa linha de reforçar as
competências internas existentes ou em trazer aquelas que faltam. Não basta
saber o que precisa ser feito. O importante é saber como deve ser feito. Ter
visão de processos também é fundamental, de modo a garantir que as
interconexões aconteçam, e os inputs, processamentos e outputs necessários
sejam contemplados. Já o bom relacionamento interpessoal, diplomacia e
capacidade de negociar se fazem necessários para lidar com múltiplas áreas,
necessidades e prioridades distintas.
Por tudo isto,
é essencial que as organizações contemplem em seu plano de adequação à LGPD a
figura do PMO e defina quem exercerá tal papel. Ele será o responsável por
gerenciar com sucesso a implantação das melhorias necessárias e os elementos do
Programa de Privacidade e Proteção de Dados Pessoais, que posteriormente será
de responsabilidade do DPO.
*Jefferson
Kiyohara
é
diretor de Compliance na ICTS Protiviti, empresa especializada em soluções para
gestão de riscos, compliance, auditoria interna, investigação, proteção e
privacidade de dados, única empresa de consultoria reconhecida como Empresa
Pró-Ética por três anos consecutivos.