27 de janeiro de 2022.
Neste texto vou compartilhar boas práticas e reflexões atualmente vivenciadas em um processo de implementação de Gestão e Governança de Dados, em uma organização do terceiro setor.
A Brasil Cursinhos é uma organização que representa o Movimento Universitário de Cursinhos, um movimento que visa unir os Cursinhos Universitários Populares (os CUPs) do Brasil. Atualmente há 74 voluntários, distribuídos em 10 diretorias. A Diretoria de Dados possui 16 membros e atua em diversos projetos internos e externos para desenvolvimento e fortalecimento dos CUPs.
Gestão de Dados é o ato de desenvolver, executar, supervisionar planos, políticas e programas, abrangendo práticas que possuem os objetivos de fornecer, controlar, proteger e potencializar o valor dos dados e ativos de informação durante seus ciclos de vida. A Governança de Dados compreende o exercício de autoridade e controle, gerenciando os ativos de dados, através de planejamento, monitoramento e aplicação, incluindo o foco de atenção quanto a questões de risco, as quais giram em torno de alguns fatores como proteção dos dados, regulamentos e conformidades, e visibilidade e controle.
Percebe-se um conjunto de ações em torno do processo de implementação de Gestão e Governança de Dados, diversas disciplinas e um conjunto de processos que dariam por si só outras publicações. A LGPD (Lei Geral de Proteção de Dados) e os dados são partes integrantes das disciplinas de Gestão e Governança de Dados.
O que são dados?
O recurso mais valioso do mundo não é mais o petróleo, mas são os dados. Assim como o petróleo, os dados, por si só, não expressam a real capacidade de entrega de valor, são necessários diversos processos de transformações.
Não somente os formatos digitais, as planilhas ou banco de dados. A presença massiva dos dados em nosso entorno, como os documentos, comprovantes financeiros e demais documentos impressos. Isso mesmo, dados abrangem todo e qualquer fato discreto, digital e físico, servindo como base para a construção da informação.
A informação é a estruturação e organização de dados, aplicando a eles contexto. O conhecimento é a informação processada e transformada em uma experiência. A sabedoria toma para si sua construção, através da análise e formulação hipotética perante diversos cenários. Aqui, as grandes empresas, principalmente de tecnologia, inovação e referências em diversos mercados, conseguem extrair expressivo valor dos seus dados, através do ciclo de vida de dados e boas práticas em torno dessa habilidade, o que se torna um diferencial competitivo.
Mas somente as questões da estratégica e competitividade são importantes quando falamos em dados? Não, a questão legal está em destaque no cenário brasileiro, mas consolidando-se de forma tardia, se compararmos a outros países e economias do mundo. Porém, acontecimentos vêm trazendo à tona a necessidade de adequação à LGPD.
Qual o impacto da LGPD para uma organização do terceiro setor?
A LGPD (Lei Geral de Proteção de Dados) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, cujo objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Ela estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Com a LGPD, o Brasil destaca-se como umas das referências em segurança de informações sensíveis. A adequação é necessária para atender à regulamentação que já está em vigor inclusive para aplicação de sanções, as quais incluem: advertência, multas de até 2% do faturamento da empresa (limitado a 50 milhões de reais), bloqueio de dados pessoais até suas regularizações, eliminação de dados, interrupção das atividades das organizações, e outras diversas.
Imagem 1 - Ciclo de vida dos dados e no contexto de adequações à LGPD.
Hoje a velocidade de transformação é rápida e já estamos inseridos no cenário de dados sem perceber os diversos dispositivos conectados ao nosso redor ou até mesmo em nosso corpo, como os relógios inteligentes (smartwatches). Tecnologias como esta estão transitando em nossos hábitos, em um momento de inovação disruptiva. Estamos sempre transformando os dados em informação, por sequência em informações, conhecimento e sabedoria.
Necessário dar atenção às questões legais e responsabilidades em todos os momentos que capturamos dados e realizamos transformações, os dados seguem constantemente alterações e movimentação em seu ciclo de vida. É extremamente importante o mapeamento de todos os processos de captura de dados, principalmente os que são aplicados às regras da LGPD. Ou seja, temos responsabilidade sobre o processo de proteção de dados, que é o processo de salvaguardar informações importantes, como a corrupção, comprometimento ou perda.
Essa responsabilidade é proporcional ao volume de dados criados e armazenados, bem como processos de exclusão. Nesse momento é importante refletir: devo mesmo capturar esses dados? Se sim, qual o descritivo do processo de captura e as regras aplicadas quanto ao seu ciclo de vida? Quem pode acessar e o que é realmente necessário armazenar para obter o resultado esperado pela minha organização?
E, por último, mas não menos importante: tenho a autorização do titular de dados (dono dos dados), no meu papel dentro da organização - controladora de dados -, para controlar sobre quem opera os dados, em meu nome?
A LGPD baseia-se em princípios para tratamento dos dados (detalhados na legislação), abaixo citados:
1. Princípio da Adequação;
2. Princípio da Necessidade;
3. Princípio da Transparência;
4. Princípio do Livre Acesso;
5. Princípio da Qualidade dos Dados;
6. Princípio da Segurança;
7. Princípio da Prevenção;
8. Princípio da Responsabilização e Prestação de Contas;
9. Princípio da Não Discriminação;
10. Princípio da Finalidade.
A ANPD lançou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, cujo objetivo é estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado.
Quais as 3 primeiras (sugestões) ações a serem adotadas?
Em primeiro lugar, deve-se realizar um treinamento de conscientização de LGPD para todos os membros da organização. Isso porque os dados possuem diferentes portas de entrada e todos devem ter consciência e conhecimento mínimo sobre as responsabilidades da organização sobre esses dados, já que possuem titularidade muito bem definida e inúmeras questões legais.
Em segundo lugar, paralelo ao processo de adequação à LGPD, é importante que seja criado um Comitê de Dados, um grupo formado pelos principais atores da organização (colaboradores ou voluntários), tendo em sua composição membros de das áreas de finanças, jurídica, tecnologia e dados, negócios etc. Esse comitê deve ser fixo e garantir o avanço das políticas e implementações necessárias para o programa de gestão de governança de dados. Essa ação envolve uma grande energia e ações que necessitam de uma gestão de mudança dentro da organização, impactando sua cultura e regras operacionais. O Comitê de Dados irá apoiar as ações e fortalecer a construção de forma plural e abrangente.
Como terceira ação, é necessário mapear todos os processos que capturam dados, principalmente os de pessoas naturais, sendo um dos critérios necessários para adequação à LGPD. A documentação dos processos possibilita critérios de rastreabilidade, auxilia o time técnico para decisões de projetos e a criação de indicadores. Observe que todas essas etapas citadas, antecipam as decisões de manipulação dos dados (ciclo de vida), criação de indicadores e qualquer ação que gere valor com os dados - organização orientada por dados (Data Driven).
Imagem 2 - Resumo das etapas da adequação legal à LGPD até a organização orientada por dados.
Esse cenário não coloca em evidência apenas boas práticas de Gestão e Governança Corporativa e de Dados, mas também, e principalmente, fatores de adequação legal, descritos na LGPD, que possuem suas diretrizes relatadas e por responsabilidade da Agência Nacional de Proteção de Dados.
Referências
● Brasil Cursinhos - https://brasilcursinhos.org/
● Compreendendo a Importância da Governança de Dados - https://www.linkedin.com/pulse/compreendendo-import%C3%A2ncia-da-governan%C3%A7a-de-dados-asakura/
● O recurso mais valioso do mundo não é mais petróleo, mas DADOS - https://www.linkedin.com/pulse/o-recurso-mais-valioso-do-mundo-n%C3%A3o-%C3%A9-petr%C3%B3leo-mas-dados-asakura/
● The world’s most valuable resource is no longer oil, but data - https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data
● LGPD (Lei Geral de Proteção de Dados) 13.709 - http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
● Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado - https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf
