Projetos de Implantação de Privacidade e Proteção de Dados - LGPD e o Mapeamento de Processos – parte 1*
Paulo Rogers Helrighel, CIGR, CIEIE, CBPP, IPMA-D
Especialista em Gestão de Projetos pela FAE Business School, Especialista em Engenharia de Campo Qualidade Óleo & Gás (PUC/PR), Especialista em Engenharia de Segurança do Trabalho (UTFPR) e Especialista em Gestão de Riscos Corporativos pela FESP/ Brasiliano INTERISK.
16/09/2020
*Este artigo é dividido em duas partes, onde a primeira sera publicada nesta edição da revista e a segunda na próxima. Boa leitura!
Introdução
Falando a meu respeito, não comecei ontem a trabalhar com gestão de processos.
Na verdade, meu primeiro contato foi há cerca de 30 anos na década de 90 quando as empresas lidavam com os desafios de MRP I e II, PCP e da Organização & Métodos.
O conceito de Business Process Management (BPM) nem existia como conhecemos hoje e se você fosse falar em gestão de processos, logo alguém associava seu trabalho com a burocracia promovida pela implantação das normas do Sistema de Gestão da Qualidade da família ISO 9000 daquela década e suas versões customizadas nas respectivas cadeias de manufatura: alemã (VDA 6), francesa (EAQF), italiana (AVSQ) e norte-americana (QS-9000).
Uma “imensidão de papel”, manuais, procedimentos, registros, sinópticos e fluxogramas que engessavam os processos em prol de documentá-los!
Não tenho saudades daquela época, mas aprendi muito com os erros que cometemos. Eu era estagiário de engenharia!
Entretanto, os anos 90 apesar de terem sido tumultuados no quesito organização de processos veríamos uma evolução já na primeira década do século XXI.
Ainda no último ano do século XX, um artigo visionário chamou a atenção dos brasileiros para as tendências da gestão de processos. Na época, o artigo foi um dos primeiros a destacar a mudança de conceito de “processo” que a nova versão da ISO 9000:2000 estava aculturando.
Gonçalves (2000) explicou o conceito da gestão por processos tão necessário para a mudança de paradigma requisitado pelo, até então, novo sistema de gestão de qualidade. Não preciso dizer que isso deu um nó na cabeça dos burocratas acostumados a criar manuais, procedimentos e atolar o chão-de-fábrica com papel. Era o anunciado fim de uma era!
Convivemos um tempo com os dois mundos, mas já na década seguinte a gestão por processos se consolidou e substituiu as velhas práticas. Adeus fluxogramas e sinópticos (todos cantem Aleluia!).
Agora falávamos em processos o tempo todo e o termo “analista de processos de negócios” começou a ganhar força. De repente tudo virou “processo” e tínhamos tableaus de bord esmiuçando desde as atividades do RH até as etapas de manufatura.
A Engenharia usava as Front-End Operations Engineering e suas respectivas Front-End Operations Sheets eram desenhadas à mão pela Produção do chão-de-fábrica. Dá-lhe comprar folhas tamanho A2, A1 e A0, acredito que nunca as papelarias venderam tanto esses produtos!
Um dia cheguei a ver um gerente de manufatura desenhar o processo de um posto de trabalho em um papel de pão! Ele havia se engajado numa cruzada para desmistificar os processos produtivos e mostrar que não havia nenhum segredo. Simplesmente qualquer um poderia representar um processo sem muita frescura. Funcionou e logo as unidades fabris dos sistemistas aderiram em peso. Todos nós respirávamos “processos” do início ao final do dia.
Em outras cadeias produtivas a dinâmica não era tão acirrada, mas não menos técnica. Os analistas de processos de negócio introduziram BPM em todo e qualquer processo. Ficou mais fácil para o controller entender o que a engenharia fazia, por exemplo. Não demorou e aprendemos uma notação específica para representar os processos ziguezagueando dentro das “raias de piscina”. Olha o BPMN chegando para ficar!!
Entrevistas, desenho AS IS, novas entrevistas, desenho TO BE, novas entrevistas, etc. passaram a ser uma rotina em algumas organizações.
Posso apostar que os projetos de adequação “do que quer que fosse” não teriam dificuldades de serem prontamente assimilados pela empresa inteira. O pessoal tinha pego gosto pela coisa! Mas estamos falando de 5 a 15 anos atrás!! E hoje?!
Há pouco mais de um mês fiz duas perguntas provocativas nas redes sociais que foram inicialmente direcionadas aos profissionais certificados em gestão de processos (CBPPs):
1) Vocês vêem relevância e relação entre a implantação de projetos de privacidade e proteção de dados e o mapeamento de processos nas empresas?
2) Acham que o tema tem potencial para atrair mais profissionais para debater?
A partir do feedback obtido decidi abrir um grupo de discussão específico para compartilhar o resultado de algumas pesquisas e percepções desenvolvidas através da minha empresa de consultoria, THERSA RISK OFFICE, e assim debater algumas preocupações e tendências que tenho observado:
a) A maioria dos grupos voltados ao tema Business Process Management (BPM) em redes sociais são formados por profissionais da área.
Basicamente vemos a boa e velha “pregação para o rebanho” dos já convertidos, ou ajustando a linguagem, a homilia do padre para a sua paróquia habitual.
Não há espaço para os outsiders ou quem não for do meio por dois bons motivos: o foco é a tecnicidade de processos, suas ferramentas e a comunidade de profissionais certificados.
b) A implementação de projetos de adequação à Lei Geral de Proteção de Dados (LGPD) e por extensão, General Data Protection Regulation (GDPR) e a privacidade e proteção de dados vem sendo o novo boom, os quais nem a pandemia tem refreado.
Ocorre que os gestores quase nunca conhecem gerenciamento de processos e muito menos consultam os especialistas no assunto.
Para piorar, há uma miríade de consultorias mais preocupadas em vender soluções rápidas que, via de regra, ignoram o redesenho de processos ou delegam isso a um segundo plano.
Estão voltadas a “pincelar a implantação” e deixar o “trabalho pesado” a cargo do próprio cliente, o qual percebe que a adequação dos processos não será tão simples como foi inicialmente previsto e isso acaba ameaçando a própria adequação da empresa à LGPD.
c) A Privacidade e Proteção de Dados ou P&DP - “Privacy and Data Protection”, vem passando por diversas mudanças de paradigma.
A expressão “Mundo VUCA”, anagrama para volátil, incerto (uncertain), complexo e ambíguo, não permite aos gestores a pausa necessária para refletir.
Enquanto os CISO e CSO estão mais voltados para a infraestrutura de security, a privacidade e proteção de dados tem evoluído para uma função direcionada à inteligência e rastreamento de perfis. Algo muito próximo do trabalho de prevenção e combate a fraudes, com estudo de perfil do fraudador e os frameworks correlatos.
Do mesmo modo como as técnicas de engenharia social avançam, os perfis dos hackers. phishers e crackers também tem evoluído e a tendência é termos um Profissional de Privacidade e Proteção de Dados mais analítico e investigativo com forte viés em gerenciamento de riscos e processos.
Mas afinal de contas, o que um Projeto de Adequação à LGPD precisa ter para mapear adequadamente os processos e atender aos requisitos de Privacidade & Proteção de Dados?
A resposta a esta última pergunta será construída ao longo deste e do artigo subsequente.
A Viagem do Navio do Projeto de Implantação
Adote uma metodologia adequada para gerenciar o Projeto de Adequação à LGPD da sua empresa.
A figura abaixo tem por objetivo ilustrar como iremos detalhar o debate de projetos e programas de privacidade e proteção de dados e a gestão de processos no contexto da adequação à LGPD, sem correr o risco de enviesar por uma abordagem mais técnica que poderia afastar a atenção dos gestores e decisores organizacionais.
Figura 1 – A Roseta. Fonte: o autor.
Todavia, não tem nada a ver com “vender o peixe”. Até por que o debate vai nos levar a discutir aspectos da governança corporativa que excedem o gerenciamento de processos e nos farão refletir sobre outros pontos do contexto organizacional para os quais a privacidade e proteção de dados representa uma pequena parcela dos desafios.
Não se pode esquecer que o maior pecado de algumas consultorias é subestimar a importância dos processos do cliente ou simplesmente ignorar a necessidade de readequá-los durante a implantação da LGPD. Vira uma “lição de casa” que o cliente evita fazer e consequentemente, também evita se adequar completamente à LGPD.
De que modo projetos como esse são eminentemente multidisciplinares, fica muito difícil para o cliente gerenciar tudo sozinho. É muito fácil se perder em meio aos fornecedores de softwares de BPMS, soluções mágicas de algoritmos de consultorias famosas que “varrem” os dados pessoais sem examinar arquivos em papel e principalmente, gurus que colocam o preço da consultoria do projeto lá em cima mas deixam os “pormenores técnicos” para a equipe do cliente resolver sozinha! Ufa!
Voltando a Figura 1 vê-se uma “roseta” em 3D, onde se vê 3 (três) eixos contendo cada um 2 (duas) “setas” em direções opostas. Os eixos estão orientados nas direções “x”, “y” e “z”.
Se você tiver alguma dificuldade em imaginar, basta fazer com os dedos o sinal da “arminha” levantando o polegar, posicionando o dedo médio a 90 graus do indicador em riste. É como “pegar carona” tendo o indicador e o dedo médio formando um “L”.
A ideia da roseta é trabalhar com alguns conceitos emprestados da gestão de projetos, como escopo, custos, prazo, qualidade e premissas. Cada eixo representa uma escala que cresce na direção de uma “seta” e decresce na “seta” da outra extremidade, a ponto de se tornarem antagônicas.
Proponho aplicar a Roseta como uma bússola para guiar o hipotético navio do projeto de implantação em sua viagem. Assim apresento abaixo o que uma tripulação de carreira chamaria de Tableau de Contrôle a ser observado durante as etapas da rota.
Quadro 1 - Tableau de Contrôle. Fonte: o autor.
Os Três Eixos da Roseta
- Eixo Escopo e Não Escopo
O primeiro eixo é “escopo” e “não escopo”. É muito fácil definir o escopo de qualquer projeto ou programa, mas poucos apontam claramente o que não faz parte do trabalho, ou seja, o que não integra o escopo dos pacotes de trabalho.
Quase sempre o BPM fica de fora dos projetos de adequação à LGPD, relegado a um complementar redesenho dos processos a cargo do próprio cliente!!
- Prazo Menor e Qualidade Maior
Outro eixo interessante é o de “prazo menor” versus “qualidade maior”. Funciona como um cobertor curto, quanto mais tempo se tem mais perfeito tende a ficar. O problema é que quase sempre não temos todo o tempo que gostaríamos ou que o cliente consegue dispor!
- Custo Menor e Premissas Falhas
Já o terceiro eixo apresenta “custos menores” versus “premissas falhas”. Talvez seja o binômio mais difícil de entender à primeira vista, mas o segredo é compreendermos que por mais brilhante e ajustado que seja o orçamento do projeto de adequação, sem nenhuma gordura, só vai dar certo se as premissas em que nos baseamos se mostrarem verdadeiras.
Como todo bom gerente de projetos entende, toda premissa falsa gera um risco correspondente que, via de regra, não foi previsto inicialmente e irá incrementar os custos do projeto caso não seja eliminado ou adequadamente mitigado.
Primeira Etapa: navegando no Mar de Rosas
O melhor cenário que o Tableau de Contrôle apresenta é o chamado “Mar de Rosas”. Trata-se de uma conjunção hipotética com forte viés otimista do tipo “tudo vai dar certo”!
Isso só é possível graças à combinação das seguintes “setas” da Roseta, a seguir.
- Escopo Maior e Custo Menor
Neste cenário o escopo é maximizado, ou seja, mais processos são incluídos enquanto os custos estabilizam ou são reduzidos por diversos fatores que fortuitamente acabam convergindo: equipe reduzida, simplicidade dos processos e porte reduzido do cliente.
- Escopo Maior e Qualidade Maior
Neste segundo cenário ideal o escopo é maximizado, ou seja, mais processos são incluídos e detalhados com maior profundidade por diversos fatores que fortuitamente acabam convergindo em função de: prazo relaxado, escopo bem definido, entregáveis impecáveis e excelente relação com o cliente.
Importante frisar que neste cenário a equipe e o cliente dispõem de tempo para desenhar os processos e não há imprevistos durante o projeto.
- Qualidade Maior e Custo Menor
Neste terceiro cenário tem-se os processos mais detalhados e consequentemente a qualidade do trabalho fica melhor, mas isso não se traduz necessariamente em um aumento dos custos.
Ao contrário, os mesmos ficam dentro do orçamento ou até são reduzidos em função da concretização de todas as premissas definidas no início do projeto.
A “ausência” de riscos relevantes transformam as reservas financeiras e “pulmões” do projeto em vantagens que reduzem os custos e incrementam a qualidade.
Contudo, o Mar de Rosas acaba aqui!
Segunda Etapa: navegando em estado de alerta
A correta definição de escopo é uma arte na gestão de projetos. O escopo não pode ser exagerado e nem salpicado de lacunas. Fazer mais que o combinado, denominado de gold plating, não é “factóide” de gestor de projetos certificado.
Existe uma boa razão para compararmos a formação do escopo a uma “atividade de calibração”. Precisa haver equilíbrio pois muita coisa depende disso.
- Escopo Maior versus Prazo menor
À primeira vista parece ótimo, mas é completamente ambíguo. Pode não haver problema em superdimensionar o escopo enquanto se encara o desafio de executá-lo em um projeto de tiro curto.
Mas e se ocorrerem mudanças de trajeto? Quase sempre isso acontece e o tiro pode sair pela culatra. É no mínimo um sinal de alerta para a tripulação do projeto topar os aumentos de escopo em troca de... nada?!
- Escopo Maior versus Premissas Falhas
Aqui a tripulação do projeto navega com a “pulga atrás da orelha”. As falhas pontuais de algumas premissas já no início do projeto servem como sinal de alerta.
É uma questão de tempo para o quadro piorar e em algumas semanas a equipe estará navegando em “águas turbulentas” quando as falhas se tornarem sistemáticas. Mais uma vez na causa raiz está o escopo mal definido!
- Qualidade Maior versus Premissas Falhas
A “qualidade maior” presume que a tripulação não sofre pressão de prazo para os entregáveis. Doce ilusão!
De modo análogo ao item anterior, a progressão de premissas falhas pode facilmente transformar o estado de atenção da tripulação no pânico de assistir a “nau ir a pique”.
Os entregáveis podem até sair, mas não na qualidade inicialmente planejada.
Conclusão
A partir do Tableau de Contrôle vimos os 6 (seis) primeiros possíveis cenários da viagem do nosso hipotético navio do projeto de implantação.
No próximo artigo veremos os 6 (seis) cenários restantes, de modo a expor didaticamente as vantagens e desvantagens de cada um deles e como poderemos agregar o melhor do gerenciamento de processos ao desafio de implementar os projetos de implantação de privacidade e proteção de dados no contexto da LGPD.
Referência
GONÇALVES, José Ernesto Lima. As empresas são grandes coleções de processos. RAE - Revista de Administração de Empresas. São Paulo, v. 40, n. 1, p. 6-19, jan./mar. 2000.