Projetos de Implantação de Privacidade e Proteção de Dados - LGPD e o Mapeamento de Processos – parte 2*
Paulo Rogers Helrighel, CIGR, CIEIE, CBPP, IPMA-D
Especialista em Gestão de Projetos pela FAE Business School, Especialista em Engenharia de Campo Qualidade Óleo & Gás (PUC/PR), Especialista em Engenharia de Segurança do Trabalho (UTFPR) e Especialista em Gestão de Riscos Corporativos pela FESP/ Brasiliano INTERISK.
30/09/2020
*Este artigo foi dividido em duas partes, onde a primeira parte foi publicada na edição 146 da revista. Clique aqui para ler
Introdução
Há cerca de dois anos um importante cliente solicitou um projeto de implantação do plano diretor de gerenciamento de riscos corporativos. Claramente, seria a engrenagem principal da governança corporativa, da implementação da política de riscos e a pedra de toque do programa de compliance daquela multinacional.
A nossa proposta comercial foi aprovada e cerca de um ano depois o trabalho foi concluído com sucesso. Foi uma implantação extremamente rápida graças à colaboração dos departamentos, engajamento da equipe e do apoio da alta direção. O resultado foi destacado pelo Risk Officer do grupo em Paris e recomendado para as outras unidades internacionais. Allez les bleus!!
Particularmente, fiquei surpreso com o impacto que o nosso trabalho causou e o reconhecimento internacional recebido. Quem disse que nós brazucas não mandamos bem?! Talvez tenha sido o perfil de engenheiro que me fez “mergulhar de cabeça” no projeto e esquecer aspectos não menos importantes como o comercial e o próprio marketing. Sim, assinei um termo de confidencialidade e não posso falar dos detalhes até 2022 (mas o cliente pode!).
Enquanto vocês riem da ironia deste relato, quero frisar que não guardo arrependimentos. Foi o melhor case da THERSA RISK OFFICE na implantação de uma autêntica estrutura da segunda linha de defesa, a qual segundo The Institute of Internal Auditors (2020) tem a prerrogativa de analisar e orientar as atividades da primeira linha, reportar à alta direção e zelar pela eficácia dos Key Risk Indicators (KRI) corporativos.
Dificilmente um Projeto de P&DP será priorizado se não estiver alinhado aos programas de governança corporativa e compliance da organização. A atuação da segunda linha é fundamental para o sucesso de um projeto de privacidade e proteção de dados.
Voltando à nossa metodologia, vamos observar o Tableau de Contrôle montado a partir da Roseta que vimos no artigo anterior para conferir o que o itinerário que o nosso navio nos reservou.
Quadro 1 - Tableau de Contrôle. Fonte: o autor.
A viagem do navio do projeto de implantação continua
Agora vamos ingressar em águas turbulentas, a viagem começa a ficar perigosa!
Terceira Etapa: navegando em águas turbulentas
As “águas turbulentas” subentendem uma mudança de cenário abrupta, sem sinal de alerta. “Não era pra ter sido assim” dirá um dos membros da tripulação ao final da execução. Via de regra, é o resultado de um projeto que não foi adequadamente planejado.
- Qualidade Maior versus Não Escopo
As aparências enganam e ao contrário da navegação no Mar de Rosas, a situação pode ficar bastante crítica em pouco tempo para a tripulação.
Não necessariamente um escopo mais simples ou menor significa que a equipe não terá surpresas logo em seguida. Basta o cliente perceber que deixou alguma coisa passar batido, o que caracteriza uma falha no gerenciamento do projeto.
Enquanto a tripulação capricha na execução, as águas podem ficar agitadas quando for anunciado as alterações de escopo. Esqueça o gerenciamento de mudanças, pouca coisa salva um escopo mal definido ou especificado às pressas. O pior é que não houve nem sinal de alerta!
- Prazo menor versus Custo Menor
Esta dobradinha é um claro indicativo que se trata de um projeto enxuto!
Nada contra “os projetos enxutos”, mas o tempo gasto para planejá-los não pode ser subestimado.
Lembro de uma situação bem específica numa fábrica de automóveis (adivinha?) em que as portas de determinado modelo de veículo saíam com afloramento e defloramento no final da linha de montagem.
Este tipo de defeito de montagem apresenta a porta um pouco “pra fora” (afloramento) ou “pra dentro” (defloramento) em relação à linha da carroceria. Não havia o que a equipe de engenharia já não tivesse feito para estudar o problema, a cadeia de cotas foi simulada uma dezena de vezes na sala de medições utilizando equipamentos caríssimos. E nada, a equipe estava frustrada.
Então a equipe de projeto entrou em cena, passaram 48h trancados numa sala, que eles mesmos denominaram de “sala de guerra”. Uma infinidade de post-its e esquemas figuravam espalhados nas paredes, mas efetivamente não executaram nenhum teste. O foco era exclusivamente o processo de planejamento.
Não preciso falar que a gerência de manufatura já estava “perdendo os cabelos” quando “os nossos heróis” saíram da sala de guerra para fazer um único teste na linha de fabricação: pesaram uma porta montada no final da linha e penduraram um “peso” equivalente (os engenheiros chamam de “massa”) numa porta que estava entrando no início da manufatura. A porta iria seguir a ordem de todas as etapas: carroceria, pintura e montagem.
Quando a porta chegou no início da linha de montagem, o “peso” foi substituído pelas guarnições que seriam montadas na mesma. Et voi-là, a porta ficou centralizada e não havia nenhum defeito na cadeia de cotas. Os nossos especialistas mediram e refizeram as medições uma dezena de vezes. Repetiram o teste e o resultado foi o mesmo! Ponto para o planejamento bem executado, a Sala de Guerra havia conquistado sua reputação naquela montadora!
- Prazo menor versus Premissas Falhas
Um projeto de tiro curto não comporta muita margem para falhas. À medida em que as premissas falham, o foco da tripulação é desviado e mais “energia” é dispendida apagando os incêndios.
Guardo a analogia criativa de um antigo professor para diferenciar os conceitos de gestão e gerenciamento. Ele dizia que “gestão” é “quando você age sem planejar ou planeja mal, se contentando em apagar um incêndio após o outro” (palavras dele). Todavia, o gerenciamento é quando você planeja o processo de ponta a ponta, se antecipa ao surgimento dos eventuais focos de incêndio e age de modo proativo, ao invés de ser reativo como no primeiro caso! Confesso que adotei a explanação e a uso até hoje.
Voltando à nossa embarcação, vemos uma equipe pressionada pelo prazo e insegura por causa das premissas que não se concretizam. Como o eixo premissas falhas é uma escala negativa do tipo Lei de Murphy, tudo “o que pode dar errado dará” na medida em que esta escala avança (GORGES, 2007).
“__ Haja gestão”, diria meu antigo professor. Portanto, nunca subestimem o efeito negativo das premissas de projeto. É uma aposta de risco crescente, literalmente!”
Interlúdio
Adiante a viagem guarda ainda mais surpresas desagradáveis para a nossa tripulação, mas antes precisamos conversar um pouco sobre apetite aos riscos.
Conforme Taleb (2018, pp.267-280), as pessoas costumam confundir dois importantes conceitos que poderiam, literalmente, custar as suas vidas: a diferença entre o que o autor denomina de “risco de cauda” e “ruína”.
A melhor forma de exemplificar os conceitos destacados por Taleb op.cit. é assistir o filme protagonizado pelo astro de Hollywood, Gerard Butler, chamado Chasing Mavericks. “Maverick” é nome daquelas ondas gigantes que apenas os surfistas profissionais mais corajosos arriscam pegar.
No filme Butler faz o papel do coach de um jovem aficcionado por essas ondas e decide treiná-lo para viabilizar o seu sonho de surfá-las. Não demora muito para o expectador compreender que o ponto crítico entre quem vive e quem morre reside na capacidade do atleta em manter-se em apneia debaixo daquela montanha de água salgada.
A “sorte” de fazer isso repetidas vezes Taleb (2018) denomina de “risco de cauda”, enquanto tentar proeza semelhante em outras ocasiões acabará levando o atleta à “ruína”, ou seja, a óbito. O fato de ter conseguido uma vez não garante ao atleta sucesso nas vezes subsequentes e certamente a curva do risco é cumulativa, pois o risco nunca pode ser considerado um dado isolado como muitos decisores insistem em fazer no mundo dos negócios.
A viagem alcança uma etapa crítica
Falando em decisores, o capitão do nosso navio irá tomar uma decisão crítica a seguir.
Quarta Etapa: navegando no Triângulo das Bermudas
Projetos de Privacidade e Proteção de Dados não estão muito longe do contexto de outras soluções envolvendo tecnologia da informação e big data. As tecnologias são disruptivas, o cenário muda o tempo todo e há sempre novas ameaças, ainda mais se o capitão da nau tomar decisões sistematicamente equivocadas.
Neste caso, as falhas seguirão uma curva exponencial, enquanto as decisões do capitão um raciocínio linear. Bem vindos ao triângulo das bermudas! À esta altura a tripulação já abandonou o navio!
Por “tripulação” não me refiro apenas à equipe do projeto, mas a ela e aos equipamentos. Estes por sua vez são compostos pelas habilidades, conhecimentos e ferramentas da equipe. Os dois primeiros são as “técnicas”, enquanto as “ferramentas” representam os demais recursos disponíveis, os quais podem ser engajados ou não pelo líder do projeto.
É um mistério o que leva o capitão do navio a assumir riscos que, à priori, seriam desnecessários se ele examinasse o tableau de contrôle pendurado na parede dos seus aposentos.
Não é de estranhar se verificarmos que há muitos capitães acostumados a liderar suas tripulações a partir das acomodações confortáveis do escritório da companhia dentro do estaleiro! O apetite exacerbado ao risco é uma forma de provar a sua (in)competência!
Taleb (2019) explica este comportamento de modo muito peculiar. Segundo ele, é muito fácil as pessoas em posição de liderança confundir resiliência, que no glossário de Taleb é inferior à antifragilidade, com a sua própria fragilidade. Neste caso o autor garante, o líder não receará em testar a fragilidade, digo “resiliência”, dos outros ao invés da sua!
Fica mais seguro liderar assim: se der certo e a tripulação sobreviver, o capitão foi “resiliente”. Caso contrário, eles não eram fortes o bastante!
Dado o exposto acima fica explicado as razões hipotéticas que levaram o navio a adentrar tão perigoso triângulo, o qual examinaremos abaixo.
- Não Escopo versus Prazo menor
Se lembrarmos que o escopo é uma escala que requer equilíbrio, logo percebemos que a extremidade oposta é muito prejudicial ao projeto por acrescentar muitas lacunas em aberto.
Somando a isso a pressão por prazo, o resultado final será pífio! Nau à pique!!
Todavia, o capitão tem “um trunfo na manga”. Ele vai chamar a BIA!
BIA é o nome de uma das mais experientes tripulantes do navio: Business Impact Analysis!
A “moça” tem uma ficha técnica impressionante, figura na Norma ISO/IEC 31010:2019 como uma das principais técnicas de análise de riscos. Um verdadeiro canivete suíço!
E então? Resolve chamar a BIA? Não! Explico na sequência.
- Não Escopo versus Custo menor
Pelas mesmas razões anteriores o resultado pode ser facilmente comprometido devido às pressões de baixo custo e como veremos a seguir, é muito tarde para chamar a BIA! Nau à pique!!
- Não Escopo versus Premissas Falhas
Idem, com uma ressalva a mais: a falha sistemática das premissas acrescenta muitos riscos ao projeto, muitos dos quais certamente serão inerentes. A equipe não terá recursos suficientes ou foco para tratá-los e transformá-los em riscos residuais. Nau à pique!
Lições Aprendidas
O gerenciamento de riscos não é para ser usado quando “as coisas começam a dar errado”, isso demonstra que já passou a hora. É preciso atuar no início, não no final da viagem!
Na verdade, a alegoria do “triângulo das bermudas” não representa uma etapa da viagem. Mas faz parte das lições aprendidas do projeto. De certo modo as lições aprendidas também são uma etapa posterior do projeto, ainda que quase sempre subestimada pelas organizações.
Portanto, o capitão jamais deveria ter “tentado a sorte” dentro do triângulo!
Mas por que a BIA não foi útil afinal? Simples, de acordo com a Norma ISO/IEC 31010:2019 ela é útil em todas as etapas do Risk Assessment Process. Mas não posteriormente, como na etapa de tratamento dos riscos que o capitão queria!
Outro ponto importante sobre a BIA: ela não substitui o mapeamento de processos como veremos adiante.
Tenho ciência que muitas consultorias utilizam a técnica para mapear os processos críticos, mas isso não garante confiabilidade dos resultados para o sistema como um todo! Então, atenção!!
Pensamento consiliente
Até aqui foram feitos os seguintes questionamentos: qual é a relação entre projetos de implantação de privacidade e proteção de dados e o mapeamento de processos? O tema tem potencial? O que é preciso para mapear adequadamente os processos e atender aos requisitos de privacidade e proteção de dados?
Outras questões ficaram para serem esclarecidas: por que a BIA não substitui o mapeamento de processos? Diagnóstico é o mesmo que mapeamento?
Chegou o momento de conectar as pontas soltas e responder essas questões. Mas antes é preciso falar sobre Business Process Management (BPM) que foi apenas introduzido quando mencionada sua origem a partir de Organização & Métodos (O&M), PCP, just-in-time, MRP I/II e a importância do gerenciamento de processos para os sistemas de gestão dos sistemistas de montadoras.
Conforme Pavani Júnior e Scucuglia (2011, p.45), BPM é uma disciplina consiliente e sistemática.
Por “consiliência” os autores definem como estruturar o próprio aprendizado partindo do conhecimento mais amplo antes de explorar algo mais específico. É como conhecer o bosque antes de subir na árvore! Ou absorver o quadro geral antes de examinar um ponto específico na pintura. Deste modo é possível saber o que se precisa aprender antes de mergulhar com mais profundidade em uma disciplina complementar.
Contudo, a ideia não é se tornar um especialista em tudo ou ‘professor de deus’. O conceito de consiliência ganha uma compreensão mais prática quando aliada ao neologismo do conceito de nexialismo, que pode ser contextualizado pela seguinte história.
O termo “nexialista” surgiu na obra de Van Vogt, “A viagem no Space Beagle”, dos anos 50. Nesta ficção, uma nave saiu da Terra levando um especialista para cada área do conhecimento humano. Todos cientistas, menos um, a quem Van Vogt chama de “nexialista”. Sempre que enfrentavam alguma desventura, o único capaz de resolver o imbróglio era o próprio. Ele coordenava a tripulação que, através da combinação individual de suas habilidades, conseguiam escapar do perigo. “O nexialista é aquele profissional que não necessariamente sabe a resposta para todas as perguntas, mas é capaz de saber onde olhar para buscá-las” (LONGO, 2014, p.250).
Na verdade, Longo op.cit. procura exemplificar que o nexialista tem o raciocínio consiliente e ao mesmo tempo sistêmico, atuando como quem monta um quebra-cabeças onde cada peça tem o seu lugar. Embora ainda não saiba como ficará quando concluído, ele é o único com visão abrangente o suficiente para conseguir encaixar as peças umas nas outras. Sua competência é transversal, o que concilia o distanciamento necessário para conseguir enxergar todo o bosque antes de examinar as árvores. Contudo, ele não fará o papel dos lenhadores. Não é especialista.
Neste sentido Longo (2014, p.249) define nexialismo como: “integrar de maneira sinérgica, complementar e sequencial as várias disciplinas que compõem o conhecimento humano de modo que as coisas e atividades façam nexo entre si”.
Por sua vez, o BPM é mais uma peça que pode encaixar as demais de forma a tornar o conjunto mais eficaz e eficiente. Pois BPM é uma disciplina na qual o know how depende de raciocínio sistemático e consiliente.
- BPM em Projetos de Privacidade e Proteção de Dados
Com a nova geração de aplicativos de modelagem e simulação de processos, qualquer pessoa com uma boa ferramenta de Business Process Management Systems/Suites (BPMS) pode implantar BPM na sua própria empresa sem ajuda de ninguém!
Entretanto, há 4 (quatro) aspectos que põem em xeque os projetos de implantação de privacidade e proteção de dados nas organizações que aplicam BPM.
Primeiro Aspecto
Atividade é diferente de tarefa. Conforme Pavani Júnior e Scucuglia (2011, p.18) automatiza-se o erro quando o foco está nas tarefas ao invés das atividades.
Atividade é “o conjunto de tarefas orientadas para um objetivo definido”. O foco é o “que fazer”, sem o qual não se alcança o objetivo. Enquanto isso, tarefa é “uma sequência de passos pré-determinados para se realizar uma atividade”. Pode ou não conter “como fazer”, incluindo procedimentos correlatos (PAVANI JÚNIOR; SCUCUGLIA OP.CIT., p.69).
O erro pode ser sistematizado quando há muito esforço por parte da consultoria em adaptar as rotinas de seu software com foco em tarefas para que rode sem dificuldades, além da tendência em subestimar os processos atuais dos clientes de modo a forçar a adaptação.
Já o mapeamento de processos com foco em atividades possui uma gama enorme de componentes que, se forem abruptamente reduzidos devido a uma implantação precipitada, podem levar o mapeamento de processos a falhar.
É preciso redesenhar os processos, corrigir as debilidades das atividades por meio de um mapeamento estruturado e metodologia adequada. Afinal, BPM é uma disciplina, mas não é metodologia.
Segundo Aspecto
Desenha-se o fluxo de processo em função das entregas de cada atividade, denominado de “objeto”. As saídas do processo anterior se tornam as entregas de entrada do processo seguinte, conforme Pavani Júnior e Scucuglia (2011, p.25).
Terceiro Aspecto
De acordo com Pavani Júnior e Scucuglia op.cit. (pp.43-46), consultores não holísticos “com foco em Tecnologia da Informação” e pouca experiência em BPM, tendem a desenhar na seguinte ordem: macroprocessos, processos, subprocessos e atividades a partir de uma visão top down colada no organograma e segundo uma perspectiva sistêmica, mas não consiliente.
Nota-se que há uma clara conexão entre BPM e governança corporativa. Em estruturas de governança o papel do dono do processo, dono de riscos, dono dos dados, etc é transversal às gerências funcionais e perpassa toda a organização, integrando o que The Institute of Internal Auditors (2020) denomina de “primeira linha”.
Na prática as organizações enxutas não possuem tantos colaboradores para desempenhar esses diversos papéis, mas via de regra é a mesma pessoa usando um chapéu de cor diferente! O dono do processo é também dono dos riscos A, B e C e dono dos dados K, L, M e N, por exemplo.
Deste modo a primeira linha segue uma orientação horizontal mais aderente à lógica do fluxo dos processos. O qual pode não funcionar como deveria na visão top down, mas é totalmente fluida na orientação bottom-up por justamente empoderar os donos dos processos, riscos e dados. Isso torna toda a organização mais responsiva, eficaz e eficiente.
As estruturas organizacionais verticalizadas têm mais dificuldades em ser proativas e acompanhar o fluxo de processos via abordagem bottom-up por 2 (duas) boas razões:
a) Nem sempre o previsto é igual ao realizado no chão-de-fábrica. As atividades descritas pela gerência funcional podem não corresponder àquelas verificadas in loco;
b) Nunca subestime o poder dos handoffs em descontinuar o fluxo de trabalho e aumentar as redundâncias e os riscos. Isso se reflete naquele “formulário impresso” guardado a 7 (sete) chaves pelo colaborador que não confia totalmente em determinada rotina que vem do processo precedente executado por outro setor. E adivinha só, está repleto de dados pessoais!?
A figura seguinte ilustra ambas as orientações.
Figura 1 - O efeito bidê. Fonte: adaptado de Pavani Júnior e Scucuglia (2011, p.65).
Quarto Aspecto: Karoshis e Teians
Karoshi é uma expressão japonesa que significa “morte por excesso de trabalho” e na prática significa uma oportunidade de melhoria a ser explorada, pois a atividade - “o que fazer” pode ser eliminada evitando a tarefa desnecessária (OAKLAND, 1994 APUD PAVANI JÚNIOR; SCUCUGLIA, 2011, p.29).
Por exemplo, aquele mesmo formulário impresso que o colaborador guarda como backup pode perder toda a sua relevância após o karoshi eliminar a rotina que inspirou a sua criação. Ou seja, os colaboradores irão contribuir com a limpeza dos dados não por que devem, mas porque querem. É uma batalha por corações e mentes da organização, o programa de compliance agradece!
A simplificação do fluxo do processo e a redução dos handoffs pode eliminar atividades que mitigam a exposição de dados pessoais.
A própria equipe que apoia o dono do processo pode realizar esta simplificação. Tal prática, uma vez sistematizada dá origem aos Teians, ou seja, “um envolvimento da força de trabalho na propositura de soluções” (PAVANI JÚNIOR; SCUCUGLIA OP.CIT., p.30).
Como tudo isso começou a ser difundido a partir da década de 90, as grandes empresas de consultoria aproveitaram destes conceitos para usar e abusar dos recursos internos sobrecarregando as equipes do cliente na resolução dos karoshis, sob o pretexto de valorizar o engajamento interno. São as ditas ‘consultorias picasso’ que pincelam a implementação mas deixam o trabalho pesado a cargo do próprio cliente. Largam aquele “tapinha nas costas” e em tom professoral aconselham: “façam a lição de casa”!
- Diagnóstico e mapeamento de processos não são a mesma coisa
Visto os fatores de risco que interferem na realização de um bom mapeamento de processos, é importante verificar o que se pode aguardar do Diagnóstico.
O checklist padronizado com perguntas, via de regra, adaptadas de implantações anteriores que nada tem a ver com os processos atuais e especificidades do cliente.
Os processos críticos podem até ter uma certa semelhança, mas isso começa a ficar cada vez mais limitado quando se desce a cadeia de valor para as atividades e tarefas.
Enfim, embora a BIA (Business Impact Analysis) ajude a levantar os riscos nos processos críticos, definitivamente ela não substitui um mapeamento elucidativo e eficiente. Neste sentido, não há checklist que resolva a confusão inerente entre atividades e tarefas.
Segundo Pavani Júnior e Scucuglia (2011, pp.101-106), o profissional certificado em gerenciamento de processos possui as competências necessárias para esclarecer as diferenças e obter, através de entrevistas, os recursos capazes de discernir as fronteiras entre as atividades e as tarefas, e validar com o cliente o consenso dentro da organização.
Esta fronteira é o cerne de todo e qualquer mapeamento de processos bem sucedido. Seja pela orientação top down (efeito chuveiro) ou pela bottom-up (efeito bidê) a estabelecer os limites entre os processos, essa delimitação clara é a chave para se obter um mapeamento de processos eficaz e supera em muito os resultados de um eventual diagnóstico, por mais tecnológico que possa ser (PAVANI JÚNIOR; SCUCUGLIA OP.CIT., pp.61-76).
Isso ficou claro para mim quando executamos o levantamento dos dados pessoais e após uma cuidadosa análise houve um “enxugamento” que resultou em aproximadamente um quinto da base de dados original – o que demonstra que ocorreu uma boa confusão entre as fronteiras dos processos e suas atividades, apesar dos dados pessoais não sofrerem alteração. Este retrabalho tomou tempo e poderia ter sido evitado caso o mapeamento de processos tivesse sido escolhido no lugar do diagnóstico nesta implantação em questão.
Note que o foco aqui não é a modelagem propriamente dita, mas o mapeamento de processos. Modelar é uma atividade processual comparada ao ciclo de mapeamento, o qual requer desenhar e analisar as atividades e tarefas do modelo AS IS para elaborar a versão TO BE, alinhada com as expectativas das partes interessadas. O que além de tempo, requer expertise para não se perder em uma infinidade de homens-hora que, a princípio, aparentam não agregar nada ao projeto de implantação de privacidade e proteção de dados.
Contudo, o risco em executar um diagnóstico mal feito é muito mais custoso em termos de tempo e dinheiro. Não há como recuperar o tempo perdido de uma implantação mal sucedida. Neste exemplo hipotético, talvez o cliente recupere parcialmente o valor investido através da aplicação de multas contratuais, mas não existe nada que se possa fazer para reparar a atenção e o tempo que as pessoas empenharam em um projeto mal planejado ou equivocadamente implantado. O desgaste interno é irreversível, pode custar a cabeça do gestor!
Neste ponto assisto com bastante atenção determinadas soluções disruptivas ou milagrosas que se apresentam hoje no mercado. Prometem uma implantação rápida ou barata, ou ambas. Mas, como afirma a Lei de Murphy, se uma dessas alternativas puder resultar em fracasso, será exatamente a que tentarão implementar (GORGES, 2007, p.2).
Uma das evidências claras que podem ser averiguadas é o fato do cliente não concluir a limpeza da sua base de dados antiga após a implantação ser finalizada. Voltando ao exemplo das ‘consultorias picasso’ das quais o cliente ficou de fazer as ‘tarefas de casa’, percebe-se que esta tarefa em específico nunca será encerrada. Por quê? A resposta é constrangedoramente simples, basta perguntar àquele colaborador que guardava o formulário a 7 (sete) chaves na sua gaveta. Passado algum tempo ele voltará a usar o mesmo formulário e certamente não será o único na empresa! Pior, agora o formulário estará sobre a mesa, à vista de todos.
Neste exemplo hipotético, a percepção geral é que as pessoas foram iludidas e ainda que não se fale no assunto, houve uma perda de confiança de que conseguirão atender plenamente à Lei Geral de Proteção de Dados (LGPD). Visto por este prisma, realizar um mapeamento de processos ao invés de um diagnóstico é mais uma garantia do que tempo perdido!
A pergunta que o gestor deve se fazer é: vale a pena arriscar? Nem sempre o mais rápido é melhor, quase nunca o mais barato é efetivo e para piorar nenhuma consultoria, por mais conhecida que seja, pode afirmar que possui experiência de muitos anos na implantação de projetos de privacidade e proteção de dados em atendimento à LGPD. Afinal a sua vigência vem sendo postergada de prazo em prazo!
Isso lembra muito o mito de Sísifo, eternamente fadado a empurrar morro acima uma grande pedra que rolava novamente morro abaixo. Talvez um lembrete para nós sobre como é fundamental executar um trabalho até o final sem deixar pontas soltas, perfeito para ilustrar o que irá acontecer nos próximos anos em determinadas empresas que ‘implantaram’ soluções apressadas e jamais testadas para atender a LGPD (BULFINCH, 2006, p.260).
A fábula chama atenção ao que, talvez, seja o prejuízo mais importante sofrido decorrente de uma implantação mal sucedida. Algumas organizações só irão descobrir isso quando for tarde demais. Não haverá relatórios de impacto que conseguirão justificar as vulnerabilidades ‘das pedras que rolarão morro abaixo’ diante de um programa de compliance atuante, vazamentos recorrentes, titulares de dados insatisfeitos ou mesmo da fiscalização eficiente por parte da atuação da futura Autoridade Nacional de Proteção de Dados.
O perfil do líder do século XXI
Então qual é a solução? Deixar para última hora? Definitivamente não, até porque um projeto de implantação de privacidade e proteção de dados não é nada trivial para implementar. Neste ponto brilha o papel da liderança do gestor proativo e responsável, que além de vencer a tentação em protelar a iniciativa, irá precisar demonstrar características típicas do líder do século XXI.
A procrastinação está enraizada na cultura empresarial brasileira, “deixamos tudo para última hora”, dirão alguns críticos mais ácidos. Projetos com investimento maior de recursos serão repriorizados diante do cenário econômico atual e futuro. O Brasil está enfrentando uma recessão e os empresários brasileiros se comportam como legítimos sobreviventes. Não é qualquer empresa que consegue lidar com a realidade nacional. Diante desse quadro, o gestor brasileiro pode melhorar ainda mais as suas habilidades de adaptação assimilando as características do líder nexialista.
O qual é o perfil ideal para o presente século, pois de acordo com Brasiliano (2017, p.114), este líder consegue adaptar a estratégia, mudar os atributos e criar o propósito da organização, de modo que a mesma seja mais ágil frente aos desafios da nova economia.
A figura abaixo mostra um perfil equilibrado capaz de integrar os mais variados conhecimentos e disciplinas em prol da produção de resultados exponenciais.
Figura 2 - Característica do Nexialista. Fonte: Longo e Tavares (2009) apud Brasiliano (2017, p.107).
Na visão de Longo e Tavares (2009) apud Brasiliano (2017, pp.106-109), o nexialista é o líder estrategista, “eterno insatisfeito” que sempre resolve os problemas e procura formas mais eficientes de vencer a inércia e encontrar soluções.
Segue abaixo a comparação dos perfis generalista, especialista e nexialista.
Figura 3 - Quadro comparativo entre as habilidades do Generalista, Especialista e Nexialista. Fonte: Longo e Tavares (2009) apud Brasiliano (2017, p.108).
Nota-se que o perfil nexialista é a melhor das 3 (três) opções, pois reúne o conhecimento multidisciplinar e sinérgico aliado à observação organizacional, diagnóstico sistêmico, recomendação isenta e solução integrada.
Entretanto, ao mesmo tempo em que o Século XXI proporciona a formação nexialista e democratiza o acesso em todas as suas formas, as mídias e redes sociais podem influenciar negativamente as pessoas. É uma faca de dois gumes.
- O Efeito Dunning-Krueger: somos todos especialistas?
Conforme constatou Schwab (2016, p.97), o fato de existir hoje em dia tanto conteúdo disponível pode fazer com que o indivíduo estreite e polarize as suas fontes de notícias, conhecimento, opinião e interação social, a ponto de ser conduzido à denominada “espiral do silêncio”. A partir dela, tudo o que a pessoa assiste, lê ou compartilha passa a moldar as suas decisões políticas e cívicas. É o mesmo efeito de uma lavagem cerebral.
Tamanha falta de consiliência não sistêmica pode ser potencializada por um fenômeno que vem crescendo na esteira da economia digital: o Efeito Dunning-Kruger.
Elaborado a partir do estudo comportamental promovido pelo professor David Dunning e seu aluno Juntin Kruger, o efeito que leva o nome da dupla visava elucidar os motivos pelos quais um sujeito chamado McArthur Wheeler encharcou suco de limão no seu rosto e seguro de que isso o deixaria invisível diante das câmeras de segurança, assaltou dois bancos (PSICONLINEWS, 2018)!
Debruçados sobre o curioso e inacreditável caso, a dupla de pesquisadores descobriu que todos nós podemos sofrer do mesmo fenômeno que acometeu Wheeler desde que no ímpeto em demonstrar o nosso suposto conhecimento, mas ainda ignorantes de fato sobre o assunto em questão, nos julguemos profundos conhecedores do mesmo. E por quê? Porque não sabemos o quanto realmente (não) temos conhecimento de causa!
Recentemente o fenômeno repetiu-se no Brasil, um rapaz foi preso pela Polícia Militar do Paraná tentando repassar drogas e celulares por cima do muro da cadeia enquanto trajava uma roupa de alumínio que, segundo ele, o tornava indetectável para a rede CFTV e os sensores de alarmes (TRIBUNA DO PARANÁ, 2020).
O caso aconteceu em Cambé, norte central paranaense. Ao ser preso, ele portava uma mochila e garrafa pet enrolada em fita crepe. A polícia achou 17 celulares, carregadores, 1,8 quilo de maconha, 14 gramas de cocaína e 6 gramas de crack em posse do suspeito (G1 PR, 2020).
Coincidência ou exemplo típico do Efeito Dunning-Kruger? Compreender bem este fenômeno ganha cada vez mais relevância no contexto de uma sociedade hiperconectada como a nossa que consome um enorme volume de conteúdo nas redes sociais o tempo todo, opina sobre os mais variados temas e se comporta como se fosse “especialista em tudo” (INSTITUTO BRASILEIRO DE COACHING, 2019).
Percebe-se que o verdadeiro risco consiste em não compreender como funciona a curva de aprendizagem. Neste ponto o pensamento consiliente é ainda mais importante para evitar que a pessoa se gabe em dominar uma área de conhecimento sem que de fato a sua curva de aprendizagem tenha progredido o suficiente.
Todavia, o fenômeno também ocorre com quem realmente é especialista no assunto. Não raro, vemos pesquisadores com anos de experiência duvidarem da própria competência, o que foi diagnosticado como “síndrome do impostor” (CG, 2020).
Considerações finais
A fim de evitar a armadilha da espiral do isolamento mencionada por Schwab op.cit. e potencializada pelo famigerado Efeito Dunning-Kruger, é mister cultivar o pensamento consiliente e sistêmico no ambiente organizacional em contraponto aos excessos desta sociedade pós-digital. É uma busca por razão e equilíbrio.
Isso reforça o desafio do líder nexialista em buscar o equilíbrio tão necessário em sua própria equipe, o qual impedirá que o peso dos chapéus não desabe sobre seus portadores. E ainda que as equipes sejam enxutas e os papéis múltiplos, é fundamental continuar investindo no treinamento e conhecimento dos colaboradores.
Consequentemente, mais do que dominar determinada disciplina como o BPM, é preciso compreender por que aquele conhecimento específico é necessário e como será aplicado no contexto da organização.
Deste modo, a empresa estará preparada para enfrentar o desafio de implantar um projeto de privacidade e proteção de dados e outros que virão na sequência, ainda que no ritmo cada vez mais acelerado do novo normal! Boa sorte!!
Referências
BRASILIANO, Antônio Celso Ribeiro. Mundo VICA: volátil, incerto, complexo e ambíguo. Estamos preparados? 1ª Edição. RJ: Qualitymark Editora, 2017, 144p.
BULFINCH, Thomas. O livro de ouro da mitologia: histórias de deuses e heróis. 34ª Ed. RJ:Ediouro, 2006. 360p.
CG. Como o Efeito Dunning-Kruger pode se manifestar mesmo coletivamente? Disponível em: <https://medium.com/altru%C3%ADsmo-eficaz-brasil/como-o-efeito-dunning-kruger-pode-se-manifestar-mesmo-coletivamente-9ac3d5420c8b>. Acesso em 31 jul. 2020.
G1 PR. Homem é flagrado com roupa térmica de alumínio tentando jogar drogas e celulares na cadeia de Cambé. Disponível em: <https://g1.globo.com/pr/norte-noroeste/noticia/2020/08/07/homem-e-flagrado-com-roupa-termica-de-aluminio-tentando-jogar-drogas-e-celulares-na-cadeia-de-cambe.ghtml>. Acesso em 08 ago.2020.
GORGES, Eduardo. A Lei de Murphy no gerenciamento de projetos. RJ: Brasport, 2007. 100p.
INSTITUTO BRASILEIRO DE COACHING. Você sabe o que é efeito Dunning Kruger? Disponível em: <https://www.ibccoaching.com.br/portal/comportamento/voce-sabe-que-efeito-dunning-kruger/>. Acesso em 31 jul. 2020.
LONGO, Walter. Marketing e comunicação na era pós-digital: as regras mudaram. SP: HSM do Brasil, 2014, 312p.
LONGO, Walter; TAVARES, Zé Luiz. O marketing na era do nexo: novos caminhos num mundo de múltiplas opções. RJ: Bestseller, 2009. 240p.
OAKLAND, John S. Gerenciamento da Qualidade Total: TQM. SP: Nobel, 1994. 464p.
PAVANI JÚNIOR, Orlando; SCUCUGLIA, Rafael. Mapeamento e Gestão por Processos – BPM. Gestão orientada à entrega por meio de objetos. SP: M.Books do Brasil Ed.Ltda, 2011. 376p.
PSICONLINEWS. O efeito Dunning-Kruger: Quanto menos sabemos, mais inteligentes pensamos que somos. Disponível em: <https://psiconlinews.com/2018/03/o-efeito-dunning-kruger-quanto-menos-sabemos-mais-inteligentes-pensamos-que-somos.html>. Acesso em 31 jul.2020.
SCHWAB, Klaus. A quarta revolução industrial. SP: Edipro, 2016, 160p.
TALEB, Nassim Nicholas. Arriscando a própria pele: assimetrias ocultas no cotidiano. 1ª Ed. RJ: Objetiva, 2018. 312p.
____________Antifrágil. 12ª Ed. RJ: Best Business, 2019. 664p.
THE INSTITUTE OF INTERNAL AUDITORS. Modelo das três linhas do IIA 2020: uma atualização das três linhas de defesa. Disponível em <https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20072020131817.pdf>. Acesso em 28 jul. 2020.
TRIBUNA DO PARANÁ. Capa da invisibilidade? Homem se veste de alumínio para jogar celulares dentro de cadeia no Paraná. Disponível em: <https://www.tribunapr.com.br/noticias/parana/homem-se-veste-de-aluminio-para-jogar-celulares-dentro-de-cadeia-no-parana/>. Acesso em 08 ago.2020.