• Você está aqui:  
  • Home
  • Artigos
  • Quando nomear um DPO pode ser um problema...

Quando nomear um DPO pode ser um problema...

Detalhes
Categoria: Artigos
Criado: Domingo, 30 Agosto 2020 21:33
Escrito por Reges Bronzatti

             Aconteceu comigo há alguns meses...

Estava ministrando um workshop de sensibilização de LGPD para um grande grupo de empresas, em SP, e surge a pergunta provocativa do CIO ( Chief Information Officer) de uma delas:

- Qual a sua visão sobre quem deve ser o DPO ( Data Protection Officer) e quando ele deve ser nomeado?

Sem pestanejar, respondi de pronto:

- O DPO, para um melhor resultado na sua cultura de privacidade, deveria ser apenas empoderado ou nomeado no final do processo de adequação à LGPD!

Jamais imaginei que esta visão causaria tanto impacto e desconforto no público presente. Pelos menos 2 ou 3 gestores mudaram completamente o semblante e suas expressões eram , agora, uma mistura de pavor com raiva. Fecharam o rosto. Em segundos, sem imaginar, percebi que tinha tocado na ferida daquilo que a corporação estava enfrentando naquela fase.

Quase de imediato, com uma tentativa de defesa, um dos gestores, levanta a voz:

- Não concordo com voçê ! Estamos sendo orientados por um dos maiores escritórios jurídicos do Brasil e eles nos ajudaram a escolher, já no início, o nosso DPO ou Encarregado de Dados. E isso está de encontro ao que lei pede !

Então, como uma metralhadora, começa a batalha de teses. Outros gestores, colegas deste interlocutor vieram na mesma linha com entusiasmo redobrado. Foi um grata experiência, como profissional, estar na minha posição, e receber tantos argumentos e contribuiçõwa visando derrubarem minha hipótese. Houveram declarações apaixonadas pró LGPD, um deles até recitou o artigo 41 e sustentaram, quase até cansarem de que a orientação recebida estava corretíssima e era a única e a melhor. Conclusão do grupo: Eles eram um grupo empresarial “soda”!

Como o segredo de qualquer debate está nas perguntas e não nas respostas. Comecei a articular e direcionar o raciocínio dos meus “oponentes”, que até 5 minutos atrás estavam apaixonados pelo conteúdo, para um caminho de humildade e resignação e, obviamente, na tentativa de abrir a visão e conduzi-los a ampliar a estratégia sobre o tema.

Então, de forma serena, comecei:

- Quantas empresas vocês conhecem que já concluíram um processo de LGPD?

Silêncio na sala.

- Como vocês garantem, que mesmo tendo chegado ao final de um processo de adequação à LGPD, a empresa está aderente á Lei?

Silêncio na sala.

- Quantos DPO´s que já estão empossados na sua função vocês conhecem?

Silêncio na sala.

Quantos DPO´s vocês conhecem que foram já nomeados no início de um processo de LGPD e estão felizes na função ?

Silêncio na sala.

- Quantos DPO´s vocês conhecem que foram já nomeados no início de um processo de LGPD e desistiram da função?

Silêncio na sala.

- Quantos DPO´s vocês conhecem que foram nomeados no início de um processo de LGPD e trocaram de empresa?

Silêncio na sala.

- Quantos processos de adequação à LGPD, apoiados por este escritório jurídico brasileiro, já foram concluídos?

Silêncio na sala.

- Quantas empresas apoiadas por este escritório jurídico estão felizes com as recomendações dadas por eles?

Silêncio na sala.

- Quantos de vocês aqui já viveram a experiência de um ciclo completo de uma adequação à LGPD?

Silêncio na sala.

- Quantos de vocês aqui gostariam de ser o DPO da própria empresa de vocês?

Silêncio na sala, quebrado apenas por um copo de água que cai sobre a mesa derrubado pelo CEO ( Chief Executive Officer) do grupo de empresas.

Então silenciei propositadamente e caminhei lentamente pela sala.

Durante 30 segundos nenhum som era ouvido, a não ser uma pequena vibração do ar-condicionado ao fundo.

Como meu objetivo não era expor ninguém e muito menos vender teses rasas sobre LGPD, amenizei o tom da voz, para trazê-los de volta a realidade da sua própria cultura organizacional de que o debate ali, sobre um tema tão polêmico e árduo, tinha exatamente o objetivo de demonstrar o que acontece quando defendemos posições apaixonadas de algo que ainda não vivemos ou ainda não experimentamos.

Não é porque voçê contratou o escritório juridico mais top do brasil que a sua jornada LGPD será a melhor ( talvez a sua empresa tenha pago os maiores honorários para uma consultoria no século XXIi, mas isso é outro ponto polêmico que não merece destaque neste artigo) e muito menos a pior.

Atender a LGPD dizendo ao mercado que já possui um DPO e não conjugar a sua realidade organizacional com a cultura de privacidade e segurança de dados pessoais é inútil.

Nenhum DPO será o salvador da pátria, de nenhuma organização para vencer a resistência a própria LGPD. Pode e deve contribuir muito, mas uma andorinha só, não faz verão.

Então, por que alguém nomearia ou indicaria um DPO no início de um processo de LGPD?

$11.       Por que quer atender a Lei, ou melhor, um artigo da lei?

$12.       Por que não tem um líder interno que entenda do assunto e precisa de um corpo?

$13.       Por que a LGPD é muito detalhista e alguém deve estudar o assunto? Isso dá muito trabalho provavelmente e a gestão tem outras prioridades, correto?

$14.       Por que precisamos ser uma empresa “cool”? E assim desejamos uma política de privacidade, linda, colorida e cheia de desenhos e anglicismos para parecermos “modernos” e “inovadores”. Alguém precisa fazer isso por nós. O DPO tem tempo e é função dele isso. Uma pena que na política ele não descreve detalhadamente os “cookies” que tem no site, pois queremos pegar tudo dos nosso visitantes para campanhas de remarketing depois, certo?

$15.       Por que queremos pagar barato por esta função, pois a lei não vai pegar?

$16.       Por que alguém precisa trabalhar neste projeto? Simples assim.

$17.       Por que um escritório jurídico disse e estamos pagando para dizerem coisas importantes? Apesar de que quando surgem termos como “firewall”, “iso27001”, “cookies”, “criptografia”, “web-beacons”, entre outros tantos conectados a segurança da informação há um silêncio sepulcral na reunião.

$18.       Por que se der m...alguém precisa ser responsabilizado depois?

$19.       Por que alguns fizeram 415 cursos de LGPD e em todos, os professores falam que é fundamental?

$110.   Por que pagamos um curso de certificação para DPO na Europa ou nos USA, nos maiores centros de estudos sobre privacidade mundial, para algumas pessoas internas e precisamos valorizar o dinheiro investido, afinal sem um DPO não há como atender a legislação internacional, certo?

Este episódio me fez lembrar muitos ensinamentos recebidos ao longo da minha jornada profissional. Nem tudo o que pensamos precisa ser falado, nem todo mundo quer saber a sua opinião. É importante limitar-se a opinar apenas quando a pessoa pede por isso, senão guarde para você. Uma boca, dois ouvidos. Talvez você pense que não há mal nenhum em expressar o que acha, mas às vezes pode soar ofensivo ou arrogante e isso se voltar contra voçê.

Qual foi o estopim da reação dos gestores incomodados com a minha resposta? Dentro do mesmo ambiente havia um(1) DPO nomeado pelo grupo que deveria atender TODAS as empresas do Grupo. Ele era eminentemente da área de tecnologia, para ser mais exato, um DBA ( Data Base Administrator) e estava com a missão ( quase impossível) de liderar a implementação em TODAS as empresas do Grupo e liderar os comitês LGPD de cada empresa ( sim, os comitês eram distintos, multidisciplinares e cheios de gerentes de áreas de negócios).

Sim, tínhamos um executor e mais ou menos uns 50 “chefes” para implementar a LGPD.

E as reuniões do comitê eram para que o executor ou DPO explicasse o que ele tinha feito na semana aos seus “chefes”.

Não tinha e como não deu certo a jornada LGPD deste grupo empresarial. Agora estão repensando onde falharam, mas o dedo, incrivelmente, continua apontado para o DPO.

Sabem por quê ?

Porque noventa(90) dias após este seminário, este mesmo DPO me manda uma mensagem com a seguinte frase:

- “Reges, aqui é o XXXXX. Eu era o DPO do Grupo YYYYY. Pedi demissão pois não estava conseguindo executar minhas atividade de DBA e ainda ser o DPO. Me sentia perdido e cobrado todos os dias por algo que eu não me sentia responsável. Posso encaminhar meu currículo para voçê, pois acho que posso tentar ser DPO em outra organização. Voçê me indicaria ?”

Bom, já compreendemos que o mercado perdeu um grande DBA, não ganhou um excelente DPO, o grupo de empresas continua perdido sem saber como recomeçar a jornada, os conflitos internos já se iniciaram novamente e a LGPD está batendo a porta de todos.

Aqui, todos perderam porque a jornada LGPD se resumia a ter um DPO nomeado desde o início e subordinado aos comitês multidisciplinares que cobravam dele a execução de um novo modelo de negócios baseado em segurança e privacidade de dados.

Triste, não ?

Dica final: Sabem quem é mais importante ser nomeado no inicio de uma implementação do que o próprio DPO ? O gerente de projeto ( mesmo que ele ainda não conheça nada de LGPD). Sim. Aquele que vai bater o bumbo todos os dias para que as coisas aconteçam e vai utilizar das melhores ferramentas para engenheiros de obra feita não apareçam em reuniões para dizer o que deve ser feito. DPO não é gerente de projeto, mas gerente de projeto pode vir a ser o DPO. Mas isso como prêmio pelo seu esforço, envolvimento, conhecimento, experiência e dedicação a causa durante o processo de adequação. É durante a batalha que voçê encontrará os melhores soldados. Não é antes da guerra iniciar que, por decreto, se determina o melhor combatente.

O segredo da implementação da LGPD e da construção da cultura da privacidade e segurança de dados pessoais está nas pessoas. Não está nas ferramentas de tecnologia. Nem na lei. O texto desta é instrumento, como uma bússola que leva os grandes marinheiros ao seu porto seguro. Não é a essência da viagem, apesar de ser fundamental. Quem executa são pessoas e é com elas que devemos definir foco, estratégia, funções, plano de ação e compartilhar decisões e ajustar rotas se os objetivos ainda não foram atingidos. Caso contrário, tudo isso será apenas para atender uma lei e não para transformar a organização para um modelo mais inovador, mais competitivo, mais diferenciado e melhores resultados.

Gestão Estratégica também é ter tempo de refletir sobre como conduzir uma estratégia, antes de executá-la. Faz bem ao bolso, aos colaboradores, aos clientes, aos prestadores de serviço, aos acionistas e ao principalmente ao negócio.

O tempo de mudar está passando...

Bons negócios a todos e até o próximo artigo !