Salomão de Oliveira*
Era uma vez um jovem que alimentava um grande desejo em conhecer uma garota. A garota dos seus sonhos, a vizinha Silvia.
Sem condições financeiras, mas já com o plano perfeito de aproximação, contou com a ajuda de seu “amigão” Cardoso, e passou a copiar notas de 50 Reais, de modo a colocar seu plano de felicidade em curso.
Esse é o roteiro base do filme “O homem que copiava”, que mostra a escolha de caminhos tortuosos para o alcance de um objetivo legítimo.
Opa… o que tem isso a ver com adequação à LGPD? Quem são esses “Cardosos” que influenciam a cópia como meio de alcançar o plano de adequação tão desejado?
Vamos aos fatos, mas não apenas como crítica aos copiadores de plantão, ou mesmo às empresas que aceitam tal prática pelo simples fato de “custar menos”, mas sim para demonstrar que, além do objetivo não ser atendido, perde-se uma grande oportunidade de melhoria da empresa e de demonstrar aos clientes e funcionários, titulares de dados, que a empresa é ética e responsável. Perde-se a oportunidade de rever os processos, reduzir despesas com manutenção do que não é necessário. E perde-se a oportunidade de gerar mais valor para o negócio, que pagaria o investimento em uma adequação de fato em pouco tempo (ROI).
Alguns poderiam dizer: “mas as empresas não sabem como discernir os copiadores dos criadores de valor. Como condenar, então, esses gestores por caírem nas falácias dos copiadores”? A resposta é simples: Para ser gestor é necessário, ao menos, ter um pouco de astúcia para perceber que se algumas empresas cobram, por exemplo, entre R$70 e R$120, e uma se apresenta para fazer o mesmo por R$20 ou R$30 algo está errado. Se forem analisadas as propostas técnicas com as entregas e o processo de adequação fica fácil perceber a diferença, o que já mostra que há indício de que algo está errado.
Outra forma simples de estimar o valor do investimento para adequação é multiplicando o valor médio da hora dos profissionais necessários em um processo de adequação (jurídico, segurança da informação, privacidade, processos, gerente de projetos, etc.) pela quantidade estimada de horas necessárias de esforço para o trabalho.
Tendo, como exemplo, um projeto com esforço de 1.500 horas, e um valor médio de R$150,00 por hora, o valor não poderia ser muito abaixo de 150 mil reais. Para saber o esforço estimado de horas, peça à consultoria uma tabela das atividades e entregas e a estimativa de horas/esforço.
Como podemos ver, temos várias formas de avaliar e validar propostas.
Superando esta possível dificuldade em entender o custo de uma adequação, que pode variar muito a depender do tamanho da empresa, quantidade de processos, complexidade da TI, maturidade atual em segurança da informação, dentre outras variáveis, vamos avançar em nosso tema.
Vamos postar um roteiro básico para contratação de serviços, com foco na adequação à LGPD em breve! Por quê? Porque se você não souber pedir, receberá qualquer coisa que queiram te entregar!!
É importante entendermos que adequar à LGPD não é o mesmo que implementar LGPD, ainda que para a adequação sejam necessárias diversas implementações, ou seja, implementaremos novos controles, novos processos, novas políticas e novas tecnologias, dentro do que for necessário e de acordo com cada empresa.
A adequação à LGPD pressupõe que já se entenda que não estamos adequados. Mas qual a distância entre a situação atual e a desejada adequação? Para sabermos isso é necessário que seja feita uma avaliação do cenário atual, o famoso “assessment”. Sem o resultado dessa avaliação fica difícil uma consultoria precificar o que será feito, de forma assertiva.
Aqui temos o primeiro impasse: a empresa precisa contratar e pagar uma consultoria para fazer a avaliação para só então partir para a adequação? Se a empresa contratante não tem claro o que precisa fazer, e dependendo da consultoria sim, mas no caso da Diferenciall não, pois temos uma metodologia que antecipa algumas fases, o que chamamos de Assessment ou Assessment Plus. Essa metodologia acelera o processo de adequação, de forma que a empresa possa ter e perceber avanços na adequação ainda durante a avaliação.
Após esta primeira fase – assessment+, a empresa terá, além de boa parte da adequação realizada, uma visão detalhada do que ainda precisa ser feito, o que traz grande assertividade na estimativa de esforço e prazo para a finalização da adequação.
A segunda fase é onde serão implementados os novos processos, controles e tecnologias que não foram possíveis durante o Assessment+, seja pelo prazo, pelo orçamento aprovado ou pela necessidade de alocação de orçamento, visto que algumas implementações podem ser complexas e requererem um projeto para tanto.
O importante, só para conectarmos o conteúdo ao título deste artigo, é que as políticas de segurança, de privacidade, de acessos, de governança de TI e de dados, dentre tantos outros documentos, sejam elaboradas e implementadas de acordo com cada empresa. Ainda que possamos utilizar uma “base” como modelo, não há como apenas copiar o modelo e aplicar. Modelo é só modelo. Ainda que pareça redundante dizer isso, tem muita gente colocando o modelo como versão final. Não basta trocar o nome das empresas, precisa ser adequado ao cenário corporativo, à cultura, às pessoas. Precisa ser aplicável, factível de ser implementado, monitorado, auditado, medido e melhorado. Não pode ter no documento uma diretriz que não será seguida, por não se aplicar à empresa alvo. Não há como se dizer “adequado”, se o documento escrito é morto, ou seja, não é vivenciado pela empresa.
Infelizmente temos visto isso sendo aplicado. Para se ter uma ideia, um grande escritório de advocacia tem em seu portfólio o trabalho para “repeteco” de adequação, para refazer, ou fazer direito, o que foi apenas entrega “do homem que copiava”.
Como conhecê-los? Como identificá-los? Como se reproduzem? Simples: Há quanto tempo estão no mercado de segurança ou privacidade? São egressos de cursos MBI (Master Business Instagram)? Cobram o valor hora muito abaixo do que seria o mínimo para um profissional com a senioridade necessária para o trabalho? Prometem fazer adequação em 100 horas?
Resumindo, utilize a razão, o raciocínio lógico e um comparativo básico com outras empresas sérias de mercado, e mesmo com outros trabalhos de consultoria que você contrata.
Para finalizar: Se você não sabe o que precisa para se adequar, qualquer proposta de adequação serve!
*Salomão de Oliveira é membro da ANADD | ANACO | ANPPD e professor de Disciplinas relacionadas a: Segurança da Informação; Privacidade e Proteção de Dados, Gerenciamento de Riscos e Gestão de Tecnologia da Informação. Atua como instrutor EXIN acreditado para os cursos de Fundamentos em Segurança da Informação (ISFS) baseados na norma NBR ISO/IEC 27002 e Green IT e possui ampla experiência em projetos de Gerenciamento de Riscos em TI, implantação de áreas de Segurança da Informação, Gestão da Segurança da Informação e Governança de TI.