Por Davis Alves, Ph.D (Gestor de Serviços) & Nilson Brito (Gestor de Projetos)
“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais” (LGPD, 2018)
Nesse artigo será explorado o cenário em que, a utilização das boas práticas de Gestão de Projeto e Gestão de Serviços para implementar um Sistema de Gestão de Proteção de Dados (SGPD) para adequação à LGPD poderá trazer um resultado satisfatório considerando as fases da Gestão de Projetos segundo o PMBOK (Iniciação, Planejamento, Controle & Execução, e Encerramento) e os componentes/fases do SGPD (Preparação, Organização, Implementação, Governança e Melhoria). A abordagem parte da visão do Data Protection Officer - DPO Consultor (Gestor de Projetos) que irá desenvolver e entregar o projeto de implementação de forma operacional para um DPO Gestor (Gestor de Serviços) conforme apresentado na figura a seguir:
Falando de forma bem simples sobre Gestão de Projetos, deve-se ter em mente a definição de um projeto. Segundo o PMBOK – Guia de Boas Práticas para Gestão de Projetos, um “Projeto” é um esforço temporário para criar um produto, serviço ou resultado, sendo assim, todo Projeto tem Início, meio e fim. (PMBOK) Quando se refere às boas práticas entenda como competências, ferramentas, técnicas e processos aplicados para todas as fases de um projeto (Iniciação, Planejamento, Execução, Monitoramento e Encerramento).
O SGPD (Sistema de Gestão de Proteção de Dados), da sua concepção inicial até seu modelo final, que é operacional, utiliza como padrão o PDCA (Plan, Do, Check e Act), usado para controle e melhoria continua de processos e produtos.
O SGPD é um conjunto de boas práticas (framework) que tem como objetivo servir como modelo prático para adequação das empresas no GDPR (Regulamento Geral de Proteção de Dados – Europeu), mas também aplicável a LGPD (Lei Geral de Proteção de Dados) para o tratamento dos dados pessoais, desde a coleta até o processamento, armazenamento e descarte. Utilizará um ciclo PDCA de cinco componentes/fases desde seu projeto de implementação pelo DPO Consultor até o momento em que será entregue operacionalizado como produto final ao DPO Gestor.
Abaixo os cinco componentes/fases do SGPD visto como ciclo PDCA:
Figura 1 – Fases SGPD (Kyriazoglou, J., 2016)
As fases 1, 2 e 3 podem ser conduzidas por um DPO Consultor e, após a fase 4, o SGPD pode ser operacionalizado por um DPO Gestor. No momento de sua implementação, cada uma das suas fases, tem como entrega final documentos (produtos/resultado) com todas as análises, politicas, ferramentas aplicadas, riscos identificados, modelos de como serão reportados os incidentes aos titulares e até mesmo à autoridade supervisora, treinamentos/palestras internas e outros documentos pertinentes à implementação e operação do SGPD na organização.
Cada organização e projeto são únicos. As práticas de Gestão de Projetos irão auxiliar o DPO Consultor em praticamente todas as fases da implementação do SGPD com uma visão apurada de como coletar requisito, definir escopo, desenvolver a equipe, documentar, comunicar, controlar, monitorar, identificar riscos, entre outras práticas. Apesar de auxiliar em todas as fases da implementação do SGPD, sua utilização de forma mais completa será no momento em que o SGPD inicia seu desenvolvimento e implementação, ou seja, na fase 3 que caracteriza o momento em que o próprio nome já diz, desenvolve e implementa. Esse é o momento de “por a mão na massa” para efetivar as fases 1 e 2 com tudo que já foi preparado e organizado em documentos para ser realmente implementado e adequado dentro da organização. O quadro a seguir exemplifica uma visão objetiva de como integrar a implementação do SGPD e as Práticas de Gestão de Projetos. De forma bem resumida pode-se ver como se dá a aplicação prática do PMBOK para estruturar e gerenciar a parte da implementação que estará documentada em um plano de projeto – centrado na execução.
Figura 2. Exemplo de Integração das práticas de Gestão de Projetos na Implementação do SGPD Fase 3. - Fonte: os autores
Analisando a figura, já se tem uma preparação e organização (fases 1 e 2) de Proteção de dados e Privacidade, e a visão das práticas de gestão de projetos ajudou coletando requisitos, definindo escopo, se haverá custos ou não com recursos e aquisições adicionais, estabelecendo um cronograma de entregas nas documentações, avaliando riscos iniciais na privacidade dos dados e também comunicando às partes interessadas sobre como está o andamento das fases iniciais (apenas nesses exemplos acima citei 8 das 10 áreas de conhecimento do PMBOK que me ajudaram nas fases 1 e 2). Agora ao iniciar a execução pode-se precisar adequar infraestrutura/software e serão necessários requisitos para cada um dos itens relacionados a estes e coletar os requisitos precedem a definição do escopo do que realmente será necessário e somente o que é necessário para adequação à LGPD, procurar fornecedores e desenvolvedores, gerenciar contratos, contratar mão de obra especializada (recursos), desenvolver a equipe que irá atuar no projeto em conjunto com os funcionários da organização, avaliar riscos relacionados à implantação e desenvolvimento e ter um plano de respostas que estará dentro do plano de projeto, sendo citado apenas uma parte do conteúdo do plano.
Nesse momento, algumas questões devem ser levantadas: Será aceito? Mitigado? Transferido ou eliminado o Risco? Quais os departamentos que será preciso atender primeiro nas adequações? Existem possibilidades de fazer ou preciso comprar? Desenvolver com mão de obra própria ou terceirizar? Qual o prazo? Se um recurso contratado for compartilhado com outros projetos? Isso é um risco? É preciso ter um plano de contingência? Se faz necessário ter orçamento de contingência? Qual é o meu custo estimado e em que momento serão aplicados os investimento? Desenvolvo primeiro ou compro hardware necessário? Já são conhecidas as visões otimistas e pessimistas do prazo e custo do projeto como um todo? Qual o caminho de risco do projeto? As entregas de adequação estão com boa qualidade? Existem retrabalhos? Todos os envolvidos estão sabendo de como o projeto anda? Esta sendo reportado todas as partes interessadas e de quanto em quanto tempo acontecerá o reporte do andamento? Qual o perfil do meu Sponsor? Ele prefere ser reportado de forma detalhada ou resumida?
Imagina que a organização tem presença em todo território nacional, será preciso um DPO como PMO central que irá coletar as informações para apresentar os resultados aos executivos na matriz. Como será a presença de um ponto focal? Será necessário um time de DPOs e cada um localizado em regionais espalhadas pelo território nacional? São questões importantes e tudo isso é parte da implementação do SGPD e a visão de boas práticas em Gestão de Projetos Irá ajudar o DPO Consultor a gerenciar de forma eficaz. Se lembra do plano de projeto? Ele terá todas as respostas para as questões colocadas acima, uma vez que tudo estará descrito. Não confunda a aplicação das práticas de gestão de projeto nas fases 1 e 2 com o plano de projeto da fase 3, ele será um documento exclusivo para essa fase.
É possível também a utilização práticas de Gestão de Projetos para as Fases 4 e 5. Como um exemplo prático, será criado um arquivo de registro para lições aprendidas contendo possíveis descuidos de funcionários e colocar isso em pauta em treinamentos futuros, isso é governança e melhoria continua. Práticas em Gestão de Projetos contribui para a elaboração de um plano de resposta de violação de privacidade, tendo a contribuição de outros frameworks para suportar as operações (Gestão de Serviços) na qual serão operacionalizadas pelo DPO Gestor.
Após sua implementação pelo DPO Consultor, o SGPD se tornará, como um todo, um conjunto de processos e práticas operacionais, entregue ao DPO Gestor e à organização. O framework do SGPD trás 44 documentos como produtos/resultados/entregas da Implementação de um SGPD para adequação à LGPD. Estes deverão ser periodicamente avaliados e, quando necessário, atualizados já que o ciclo PDCA é contínuo.
Visualizando toda contextualização, a figura a seguir apresenta uma visão bem clara de como o PMBOK + ITIL complementam a implementação do SGPD como um todo:
Figura 3. Exemplo MACRO de Integração das práticas de Gestão de Projetos + ITIL na Implementação do SGPD como um todo.
Portanto, a metodologia de implementação do SGPD é abrangente, complexa, minuciosa e trabalhosa, porém é totalmente viável e indicado aplicar boas práticas de gestão de projetos e do ITIL para a gestão de serviços como sendo facilitadores na implementação e suporte do SGPD, pois o DPO Consultor que tem capacitação em gestão de projetos poderá entregar um produto final dentro das adequações necessárias à LGPD considerando os pilares fundamentais de qualidade, custo e tempo para qualquer organização, independente do seu porte. Entretanto, não se pode esquecer que após a fase 3 do SGPD, é iniciado a operação podendo ser suportado pelo ITIL.
Veja a palestra completa “Como o ITIL contribui com a LGPD”, ministrada pelo Prof. Dr. Davis Alves no Milvus Summit 2019 – Maior evento de gestão de TI da América Latina: https://youtu.be/1Wz32Wfxwhs
Em suma, é de extrema importância que um DPO tenha também conhecimentos em Gestão de Projetos e Gestão de Serviços de TI, mesmo que em nível básico, pois essas duas áreas de conhecimentos, aliadas as respectivas boas práticas (PMBOK e ITIL), contribuem para que o SGPD seja seguido e consequentemente a empresa esteja adequada a LGPD – Lei Geral de Proteção de Dados.
https://www.linkedin.com/pulse/pmbok-itil-vs-sgpd-lgpd-davis-alves-ph-d/
Comentários