Conforme apresentado em posts anteriores, sugerimos que programa de cultura em proteção de dados seja realizado em fases e etapas. Vamos apresentar então o “Mapeamento de dados”, terceira fase da etapa de “conhecimento”.
Esse, sem dúvida alguma, é a fase mais importante do programa. É nessa fase que serão levantados todos os processos e dados que a empresa movimenta.
Essa é a hora de entrevistar cada funcionário, cada gestor de área, cada responsável, e entender a fundo onde, como e porque os dados são coletados. Dados! Essa é a chave. Nunca esqueça que o programa de cultura é para proteção de dados. E a LGPD é a Lei Geral de Proteção de dados. Em posts anteriores já apresentamos o que são os dados e sua importância. Entraremos mais a fundo nos tipos de dados em post futuros.
O importante é que seja feito o mapeamento detalhado de todos os processos e dados. Solicitou o nome de uma pessoa? Quando solicitou? Para que foi solicitado? Tem prazo para ser armazenado? Para ser eliminado? É compartilhado com alguém? Se sim, com quem? Por que motivo? O que será feito com esse dado por esse terceiro? Qual a política desse terceiro em relação aos dados?
Nessa fase os processos da empresa serão detalhados. E esse é um ganho enorme, pouco falado quando se pensa em adequação à LGPD. Muitas vezes a empresa nasce, cresce e se estabiliza com processos e procedimento que foram sendo moldados e adaptados à realidade conforme necessário. E dificilmente um empresário, seja pequeno ou grande, vai “parar um tempo” para analisar esses processos. Tudo funciona, o produto ou serviço é entregue conforme previsto, para quer vou “perder meu tempo” com essa análise? É nesse ponto que o dinheiro está sendo “jogado pelo ralo”.
Processo ineficientes e ineficazes gastam tampo e consomem dinheiro. São pessoas, documentos, horas de trabalho que muitas vezes são desperdiçados sem que ninguém perceba, pelo simples fato de que ninguém tem uma visão “geral”.
Na fase do mapeamento de dados o consultor (ou equipe) precisará passar por todos os processos da empresa para saber onde e como os dados são utilizados, quais desses dados são “pessoais” e devem ser tratados corretamente. Uma boa equipe, um bom consultor, deverá documentar todos esses processos. Ou seja, enquanto os dados estão sendo levantados, os processos também estarão.
Mas é importante deixar claro que o programa de cultura em proteção de dados não tem seu foco na otimização das regras de negócio, mas sim nos dados envolvidos neles. Ou seja, o responsável pelo programa estará, nessa fase, levantando todos os processos e onde dados pessoais são tratados. Uma análise sobre regras de negócio é outro serviço, outra demanda, e deverá ser tratada no momento correto, fora do PCPD. O que estamos propondo aqui é que, no momento do levantamento de dados, todos os processos da empresa sejam documentados. Isso facilitará a vida da equipe e do responsável pelo PCPD na próxima fase do projeto, e, de quebra, a empresa já sairá com todos seus processos descritos, podendo assim enxergar a empresa de uma forma global e decidir se será necessário executar um programa de aprimoramento de processo ou não.
Agora, mais do que nunca, a documentação é essencial. Se o consultor ou sua equipe não foram metódicos no registro dos dados, de nada terá adiantado todo levantamento. Somente um bom registro poderá fornecer informações de qualidade para as fases seguintes do PCPD.
Continuem acompanhando nossos posts para saber mais sobre a LGDP e outros assuntos da área da tecnologia da informação.
Abraços e até a próxima
André Piazzon – Diretor