Nos tempos atuais, a segurança da informação se transformou em disciplina indispensável no âmbito corporativo, em vista do crescente aumento da dependência da tecnologia para execução de quaisquer atividades. Com o sancionamento da Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD)[i], a segurança foi elevada a outro patamar: proteger também, e de forma criteriosa, a informação da pessoa humana nesse ambiente.
Através da governança corporativa, as organizações estabelecem e mantêm políticas, processos e procedimentos que, em conjunto, garantem o cumprimento dos objetivos estratégicos que orquestram o seu negócio. Para a manutenção desses objetivos, uma evolução frequentemente é necessária, seja por intermédio de novos processos ou estratégias de negócio, seja por aquisição ou criação de novos produtos e serviços, os quais são, na maioria das vezes, geridos através de projetos.
Previamente à LGPD, a disciplina de segurança da informação no gerenciamento de projetos já vinha se tornando uma prática recomendável através de normas e legislações específicas, contudo, a carência de sanções contribuía para escritórios de projetos displicentes em relação à segurança. A partir de então, com o sancionamento da LGPD, o gerenciamento de projetos de qualquer natureza passa a ter uma nova dimensão: segurança relativa aos dados pessoais das pessoas envolvidas no projeto, sejam eles patrocinadores, clientes, equipe do projeto, e demais partes interessadas.
A existência de mecanismos que protegem os dados pessoais dos seus colaboradores e prestadores de serviços não exime a organização de estabelecer procedimentos que subsidiem a transferência de dados pessoais intraorganizacionais em segurança e com o devido consentimento. Imagine um cenário rotineiro, cuja primeira reunião de planejamento de um projeto, com a participação de pessoas externas, exija uma ata de reunião, com o nome dos participantes, matrícula e/ou RG, e a sua assinatura como evidência de participação.
Esse documento físico é recolhido, digitalizado e armazenado nos documentos do projeto, comumente por prazo indeterminado. Apenas nessa situação é possível identificar vários pontos de alerta relativos aos dados pessoais ali inseridos, como: consentimento, forma de armazenamento do documento físico, finalidade e tempo de guarda. A LGPD veio, inclusive, para dar nova aparência aos documentos que até então, pareciam inofensivos
Com base nisso, é preciso reavaliar o instrumento utilizado como direcionador de projetos na organização – guia, metodologia, etc. – bem como todos os artefatos relacionados, para que estejam em conformidade com a LGPD, sem prejuízo ao processo.
Não obstante, o gerenciamento de projetos é apenas um dos processos contidos na governança corporativa, a qual deve estar hierarquicamente subordinada ao conjunto de políticas, procedimentos e planos de ação que a organização adota para garantir a conformidade com a LGPD. Ou seja, o ajuste de um processo não possui eficiência se não estiver coerente com o todo.
Em outra situação, considere que está sendo realizado o levantamento de requisitos do produto ou do serviço almejado, entre a equipe do projeto e do requisitante, e a coleta de dados pessoais de terceiros são essenciais para o seu pleno funcionamento. No entanto, as pessoas envolvidas não foram capacitadas sobre as políticas de privacidade adotadas pela organização, o que poderá acarretar prejuízo financeiro, decorrente do retrabalho, de imagem empresarial, e sanções de diversas naturezas que a lei impõe. Por isso é essencial que programas de conscientização acerca da coleta, armazenamento, uso e descarte de dados pessoais sejam adotados, sempre que possível divulgando os processos que foram afetados e os benefícios advindos da mudança.
Com base em uma nova perspectiva de que a proteção dos dados pessoais tem o poder de posicionar estrategicamente as empresas no mercado, a implementação das regras previstas na Lei 13.709/2018 torna-se um grande diferencial. A característica líquida da LGPD, que alcança todos os níveis hierárquicos e se molda ao negócio da empresa, requer que a sua adequação seja realizada através de consultorias especializadas, que possuam conhecimentos sólidos sobre a legislação, experiência no diagnóstico dos pontos de falhas, e histórico de excelência na qualidade e entrega de serviços.
Quer saber mais? Entre em contato conosco!
Amanda Machado
Gerente de Projetos da Every
[i] BRASIL. Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Comments