TECNOLOGIA

Projetos de Implantação de Privacidade e Proteção de Dados - LGPD e o Mapeamento de Processos – parte 2*

Paulo Rogers Helrighel, CIGR, CIEIE, CBPP, IPMA-D
Especialista em Gestão de Projetos pela FAE Business School, Especialista em Engenharia de Campo Qualidade Óleo & Gás (PUC/PR), Especialista em Engenharia de Segurança do Trabalho (UTFPR) e Especialista em Gestão de Riscos Corporativos pela FESP/ Brasiliano INTERISK.

30/09/2020

*Este artigo foi dividido em duas partes, onde a primeira parte foi publicada na edição 146 da revista. Clique aqui para ler

Introdução

Há cerca de dois anos um importante cliente solicitou um projeto de implantação do plano diretor de gerenciamento de riscos corporativos. Claramente, seria a engrenagem principal da governança corporativa, da implementação da política de riscos e a pedra de toque do programa de compliance daquela multinacional.

 

A nossa proposta comercial foi aprovada e cerca de um ano depois o trabalho foi concluído com sucesso. Foi uma implantação extremamente rápida graças à colaboração dos departamentos, engajamento da equipe e do apoio da alta direção. O resultado foi destacado pelo Risk Officer do grupo em Paris e recomendado para as outras unidades internacionais. Allez les bleus!!

 

Particularmente, fiquei surpreso com o impacto que o nosso trabalho causou e o reconhecimento internacional recebido. Quem disse que nós brazucas não mandamos bem?! Talvez tenha sido o perfil de engenheiro que me fez “mergulhar de cabeça” no projeto e esquecer aspectos não menos importantes como o comercial e o próprio marketing. Sim, assinei um termo de confidencialidade e não posso falar dos detalhes até 2022 (mas o cliente pode!).

 

Enquanto vocês riem da ironia deste relato, quero frisar que não guardo arrependimentos. Foi o melhor case da THERSA RISK OFFICE na implantação de uma autêntica estrutura da segunda linha de defesa, a qual segundo The Institute of Internal Auditors (2020) tem a prerrogativa de analisar e orientar as atividades da primeira linha, reportar à alta direção e zelar pela eficácia dos Key Risk Indicators (KRI) corporativos.

 

Dificilmente um Projeto de P&DP será priorizado se não estiver alinhado aos programas de governança corporativa e compliance da organização. A atuação da segunda linha é fundamental para o sucesso de um projeto de privacidade e proteção de dados.

 

Voltando à nossa metodologia, vamos observar o Tableau de Contrôle montado a partir da Roseta que vimos no artigo anterior para conferir o que o itinerário que o nosso navio nos reservou.

Quadro 1 - Tableau de Contrôle.  Fonte: o autor.

A viagem do navio do projeto de implantação continua

 

Agora vamos ingressar em águas turbulentas, a viagem começa a ficar perigosa!

 

Terceira Etapa: navegando em águas turbulentas

As “águas turbulentas” subentendem uma mudança de cenário abrupta, sem sinal de alerta. “Não era pra ter sido assim” dirá um dos membros da tripulação ao final da execução. Via de regra, é o resultado de um projeto que não foi adequadamente planejado.

 

- Qualidade Maior versus Não Escopo

 

As aparências enganam e ao contrário da navegação no Mar de Rosas, a situação pode ficar bastante crítica em pouco tempo para a tripulação.

 

Não necessariamente um escopo mais simples ou menor significa que a equipe não terá surpresas logo em seguida. Basta o cliente perceber que deixou alguma coisa passar batido, o que caracteriza uma falha no gerenciamento do projeto.

 

Enquanto a tripulação capricha na execução, as águas podem ficar agitadas quando for anunciado as alterações de escopo. Esqueça o gerenciamento de mudanças, pouca coisa salva um escopo mal definido ou especificado às pressas. O pior é que não houve nem sinal de alerta!

 

- Prazo menor versus Custo Menor

 

Esta dobradinha é um claro indicativo que se trata de um projeto enxuto!

 

Nada contra “os projetos enxutos”, mas o tempo gasto para planejá-los não pode ser subestimado.

 

Lembro de uma situação bem específica numa fábrica de automóveis (adivinha?) em que as portas de determinado modelo de veículo saíam com afloramento e defloramento no final da linha de montagem.

 

Este tipo de defeito de montagem apresenta a porta um pouco “pra fora” (afloramento) ou “pra dentro” (defloramento) em relação à linha da carroceria. Não havia o que a equipe de engenharia já não tivesse feito para estudar o problema, a cadeia de cotas foi simulada uma dezena de vezes na sala de medições utilizando equipamentos caríssimos. E nada, a equipe estava frustrada.

 

Então a equipe de projeto entrou em cena, passaram 48h trancados numa sala, que eles mesmos denominaram de “sala de guerra”. Uma infinidade de post-its e esquemas figuravam espalhados nas paredes, mas efetivamente não executaram nenhum teste. O foco era exclusivamente o processo de planejamento.

 

Não preciso falar que a gerência de manufatura já estava “perdendo os cabelos” quando “os nossos heróis” saíram da sala de guerra para fazer um único teste na linha de fabricação: pesaram uma porta montada no final da linha e penduraram um “peso” equivalente (os engenheiros chamam de “massa”) numa porta que estava entrando no início da manufatura. A porta iria seguir a ordem de todas as etapas: carroceria, pintura e montagem.

 

Quando a porta chegou no início da linha de montagem, o “peso” foi substituído pelas guarnições que seriam montadas na mesma. Et voi-là, a porta ficou centralizada e não havia nenhum defeito na cadeia de cotas. Os nossos especialistas mediram e refizeram as medições uma dezena de vezes. Repetiram o teste e o resultado foi o mesmo! Ponto para o planejamento bem executado, a Sala de Guerra havia conquistado sua reputação naquela montadora!

 

- Prazo menor versus Premissas Falhas

 

Um projeto de tiro curto não comporta muita margem para falhas. À medida em que as premissas falham, o foco da tripulação é desviado e mais “energia” é dispendida apagando os incêndios.

 

Guardo a analogia criativa de um antigo professor para diferenciar os conceitos de gestão e gerenciamento. Ele dizia que “gestão” é “quando você age sem planejar ou planeja mal, se contentando em apagar um incêndio após o outro” (palavras dele). Todavia, o gerenciamento é quando você planeja o processo de ponta a ponta, se antecipa ao surgimento dos eventuais focos de incêndio e age de modo proativo, ao invés de ser reativo como no primeiro caso! Confesso que adotei a explanação e a uso até hoje.

 

Voltando à nossa embarcação, vemos uma equipe pressionada pelo prazo e insegura por causa das premissas que não se concretizam. Como o eixo premissas falhas é uma escala negativa do tipo Lei de Murphy, tudo “o que pode dar errado dará” na medida em que esta escala avança (GORGES, 2007).

 

“__ Haja gestão”, diria meu antigo professor. Portanto, nunca subestimem o efeito negativo das premissas de projeto. É uma aposta de risco crescente, literalmente!”

 

Interlúdio

 

Adiante a viagem guarda ainda mais surpresas desagradáveis para a nossa tripulação, mas antes precisamos conversar um pouco sobre apetite aos riscos.

 

Conforme Taleb (2018, pp.267-280), as pessoas costumam confundir dois importantes conceitos que poderiam, literalmente, custar as suas vidas: a diferença entre o que o autor denomina de “risco de cauda” e “ruína”.

 

A melhor forma de exemplificar os conceitos destacados por Taleb op.cit. é assistir o filme protagonizado pelo astro de Hollywood, Gerard Butler, chamado Chasing Mavericks. “Maverick” é nome daquelas ondas gigantes que apenas os surfistas profissionais mais corajosos arriscam pegar.

 

No filme Butler faz o papel do coach de um jovem aficcionado por essas ondas e decide treiná-lo para viabilizar o seu sonho de surfá-las. Não demora muito para o expectador compreender que o ponto crítico entre quem vive e quem morre reside na capacidade do atleta em manter-se em apneia debaixo daquela montanha de água salgada.

 

A “sorte” de fazer isso repetidas vezes Taleb (2018) denomina de “risco de cauda”, enquanto tentar proeza semelhante em outras ocasiões acabará levando o atleta à “ruína”, ou seja, a óbito. O fato de ter conseguido uma vez não garante ao atleta sucesso nas vezes subsequentes e certamente a curva do risco é cumulativa, pois o risco nunca pode ser considerado um dado isolado como muitos decisores insistem em fazer no mundo dos negócios.

 

A viagem alcança uma etapa crítica

 

Falando em decisores, o capitão do nosso navio irá tomar uma decisão crítica a seguir.

 

Quarta Etapa: navegando no Triângulo das Bermudas

 

Projetos de Privacidade e Proteção de Dados não estão muito longe do contexto de outras soluções envolvendo tecnologia da informação e big data. As tecnologias são disruptivas, o cenário muda o tempo todo e há sempre novas ameaças, ainda mais se o capitão da nau tomar decisões sistematicamente equivocadas.

 

Neste caso, as falhas seguirão uma curva exponencial, enquanto as decisões do capitão um raciocínio linear. Bem vindos ao triângulo das bermudas! À esta altura a tripulação já abandonou o navio!

 

Por “tripulação” não me refiro apenas à equipe do projeto, mas a ela e aos equipamentos. Estes por sua vez são compostos pelas habilidades, conhecimentos e ferramentas da equipe. Os dois primeiros são as “técnicas”, enquanto as “ferramentas” representam os demais recursos disponíveis, os quais podem ser engajados ou não pelo líder do projeto.

 

É um mistério o que leva o capitão do navio a assumir riscos que, à priori, seriam desnecessários se ele examinasse o tableau de contrôle pendurado na parede dos seus aposentos.

 

Não é de estranhar se verificarmos que há muitos capitães acostumados a liderar suas tripulações a partir das acomodações confortáveis do escritório da companhia dentro do estaleiro! O apetite exacerbado ao risco é uma forma de provar a sua (in)competência!

 

Taleb (2019) explica este comportamento de modo muito peculiar. Segundo ele, é muito fácil as pessoas em posição de liderança confundir resiliência, que no glossário de Taleb é inferior à antifragilidade, com a sua própria fragilidade. Neste caso o autor garante, o líder não receará em testar a fragilidade, digo “resiliência”, dos outros ao invés da sua!

 

Fica mais seguro liderar assim: se der certo e a tripulação sobreviver, o capitão foi “resiliente”. Caso contrário, eles não eram fortes o bastante!

 

Dado o exposto acima fica explicado as razões hipotéticas que levaram o navio a adentrar tão perigoso triângulo, o qual examinaremos abaixo.

 

- Não Escopo versus Prazo menor

 

Se lembrarmos que o escopo é uma escala que requer equilíbrio, logo percebemos que a extremidade oposta é muito prejudicial ao projeto por acrescentar muitas lacunas em aberto.

 

Somando a isso a pressão por prazo, o resultado final será pífio! Nau à pique!!

 

Todavia, o capitão tem “um trunfo na manga”. Ele vai chamar a BIA!

 

BIA é o nome de uma das mais experientes tripulantes do navio: Business Impact Analysis!

 

A “moça” tem uma ficha técnica impressionante, figura na Norma ISO/IEC 31010:2019 como uma das principais técnicas de análise de riscos. Um verdadeiro canivete suíço!

 

E então? Resolve chamar a BIA? Não! Explico na sequência.

 

- Não Escopo versus Custo menor

 

Pelas mesmas razões anteriores o resultado pode ser facilmente comprometido devido às pressões de baixo custo e como veremos a seguir, é muito tarde para chamar a BIA! Nau à pique!!

 

- Não Escopo versus Premissas Falhas

 

Idem, com uma ressalva a mais: a falha sistemática das premissas acrescenta muitos riscos ao projeto, muitos dos quais certamente serão inerentes. A equipe não terá recursos suficientes ou foco para tratá-los e transformá-los em riscos residuais. Nau à pique!

 

Lições Aprendidas

 

O gerenciamento de riscos não é para ser usado quando “as coisas começam a dar errado”, isso demonstra que já passou a hora. É preciso atuar no início, não no final da viagem!

 

Na verdade, a alegoria do “triângulo das bermudas” não representa uma etapa da viagem. Mas faz parte das lições aprendidas do projeto. De certo modo as lições aprendidas também são uma etapa posterior do projeto, ainda que quase sempre subestimada pelas organizações.

 

Portanto, o capitão jamais deveria ter “tentado a sorte” dentro do triângulo!

 

Mas por que a BIA não foi útil afinal? Simples, de acordo com a Norma ISO/IEC 31010:2019 ela é útil em todas as etapas do Risk Assessment Process. Mas não posteriormente, como na etapa de tratamento dos riscos que o capitão queria!

 

Outro ponto importante sobre a BIA: ela não substitui o mapeamento de processos como veremos adiante.

 

Tenho ciência que muitas consultorias utilizam a técnica para mapear os processos críticos, mas isso não garante confiabilidade dos resultados para o sistema como um todo! Então, atenção!!

 

Pensamento consiliente

 

Até aqui foram feitos os seguintes questionamentos: qual é a relação entre projetos de implantação de privacidade e proteção de dados e o mapeamento de processos? O tema tem potencial? O que é preciso para mapear adequadamente os processos e atender aos requisitos de privacidade e proteção de dados?

 

Outras questões ficaram para serem esclarecidas: por que a BIA não substitui o mapeamento de processos? Diagnóstico é o mesmo que mapeamento?

 

Chegou o momento de conectar as pontas soltas e responder essas questões. Mas antes é preciso falar sobre Business Process Management (BPM) que foi apenas introduzido quando mencionada sua origem a partir de Organização & Métodos (O&M), PCP, just-in-time, MRP I/II e a importância do gerenciamento de processos para os sistemas de gestão dos sistemistas de montadoras.

 

Conforme Pavani Júnior e Scucuglia (2011, p.45), BPM é uma disciplina consiliente e sistemática.

 

Por “consiliência” os autores definem como estruturar o próprio aprendizado partindo do conhecimento mais amplo antes de explorar algo mais específico. É como conhecer o bosque antes de subir na árvore! Ou absorver o quadro geral antes de examinar um ponto específico na pintura. Deste modo é possível saber o que se precisa aprender antes de mergulhar com mais profundidade em uma disciplina complementar.

 

Contudo, a ideia não é se tornar um especialista em tudo ou ‘professor de deus’. O conceito de consiliência ganha uma compreensão mais prática quando aliada ao neologismo do conceito de nexialismo, que pode ser contextualizado pela seguinte história.

 

O termo “nexialista” surgiu na obra de Van Vogt, “A viagem no Space Beagle”, dos anos 50. Nesta ficção, uma nave saiu da Terra levando um especialista para cada área do conhecimento humano. Todos cientistas, menos um, a quem Van Vogt chama de “nexialista”. Sempre que enfrentavam alguma desventura, o único capaz de resolver o imbróglio era o próprio. Ele coordenava a tripulação que, através da combinação individual de suas habilidades, conseguiam escapar do perigo. “O nexialista é aquele profissional que não necessariamente sabe a resposta para todas as perguntas, mas é capaz de saber onde olhar para buscá-las” (LONGO, 2014, p.250).