Em razão da Lei Geral de Proteção de Dados Pessoais (LGPD), muito se tem falado sobre o DPO (Data Protection Officer) ou Encarregado de Proteção de Dados. Há diversos artigos, cursos preparatórios, guias e afins com foco neste profissional, que ganhará cada vez mais relevância nas organizações brasileiras por ser o responsável em gerir o Programa de Privacidade e Proteção de Dados Pessoais. Contudo, outra importante figura não tem recebido o mesmo destaque: o gestor de projetos, ou PMO (Project Management Office), profissional que garantirá as adequações necessárias à LGPD, em especial nas médias e grandes empresas.
E quais seriam as melhorias? Quais os pontos as organizações precisam endereçar para se adequarem à LGPD? Primeiramente, o processo de adequação inicia-se com um diagnóstico. É fundamental entender qual o estágio atual da organização em termos de gestão da privacidade, mapear quais os dados pessoais utilizados e onde eles estão. A avaliação deve considerar três pilares: legal, TI e gestão/processos. O produto final será um plano de implantação de melhorias ou um plano de adequações. É a partir deste momento que o PMO ganha relevância prática nas empresas.
Um plano de adequação padrão engloba diversas frentes e envolve múltiplas áreas, como é típico no compliance. Serão necessários a elaboração e ajustes de normativos, treinamentos, adequações na infraestrutura de TI, aquisição de ferramentas, novas parametrizações, revisão de processos e outros. Salvo as organizações que já se adequaram à lei de privacidade de dados européia (GDPR – General Data Protection Regulation) ou que possuem um nível de maturidade alto na gestão da privacidade, as demais terão um plano de adequação robusto e amplo.
Neste cenário, o PMO terá grande utilidade devido à sua experiência em gestão de projetos. Sua capacidade de estruturar atividades de forma sequencial, respeitando interdependências, identificar, tratar gargalos e caminhos críticos, trabalhar com times multifuncionais e fazer follow up junto às áreas responsáveis, elaborar dashboard e relatórios de acompanhamento, fará grande diferença no sucesso da organização em tratar os seus gaps e conseguir estar adequada à LGPD. São processos novos e revisados que precisarão ser estabelecidos e formalizados.
O papel de PMO poderá ser realizado internamente, quando as organizações possuem profissionais com tal expertise, ou mesmo terceirizados, seja numa linha de reforçar as competências internas existentes ou em trazer aquelas que faltam. Não basta saber o que precisa ser feito. O importante é saber como deve ser feito. Ter visão de processos também é fundamental, de modo a garantir que as interconexões aconteçam, e os inputs, processamentos e outputs necessários sejam contemplados. Já o bom relacionamento interpessoal, diplomacia e capacidade de negociar se fazem necessários para lidar com múltiplas áreas, necessidades e prioridades distintas.
Por tudo isto, é essencial que as organizações contemplem em seu plano de adequação à LGPD a figura do PMO e defina quem exercerá tal papel. Ele será o responsável por gerenciar com sucesso a implantação das melhorias necessárias e os elementos do Programa de Privacidade e Proteção de Dados Pessoais, que posteriormente será de responsabilidade do DPO.
*Jefferson Kiyohara é diretor de Compliance na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados, única empresa de consultoria reconhecida como Empresa Pró-Ética por três anos consecutivos.
