Home > Colunas

A LGPD está impulsionando a adoção de programas de governança de dados?

A motivação é positiva, porém algumas considerações devem ser levadas em conta na hora de implantar programas de governança de dados

Bergson Lopes*

25/06/2019 às 15h45

Foto: Shutterstock

Nos últimos meses, o tema governança de dados voltou a ser amplamente discutido dentro do cenário corporativo. Agora, além de continuar sendo fundamental para garantir dados adequados no mundo do analytics e das novas tecnologias que dependem dos dados, a adoção de um programa de governança de dados também é considerada um fator essencial para que as Organizações estejam em conformidade com os requisitos da LGPD.

A princípio, este reconhecimento é muito positivo, sinaliza que a nova lei é mais um motivo para as empresas reconhecerem a necessidade de ter um zelo maior sobre os seus dados, porém a reflexão que faço com vocês é a seguinte: implantamos programas de governança de dados da maneira correta?

A resposta envolve o entendimento do que é governança de dados e alguns princípios básicos sobre a adoção desta função de dados.

Afinal, o que é governança de dados?

Segundo o guia DAMA-DMBOK V2® a governança de dados é definida como o exercício de autoridade e controle (planejamento, monitoramento e execução) sobre a gestão de ativos de dados. É considerada como a função de dados central do seu framework e orienta a execução das demais funções de dados do guia.

Na prática, a governança de dados é responsável por definir e acompanhar o cumprimento de estratégias para gerir os dados da Organização, incluindo a definição de políticas, diretrizes, papéis, responsabilidades e processos de Gestão de Dados. Atua como uma entidade articuladora, identificando problemas, buscando oportunidades, propondo iniciativas, monitorando e orquestrando a execução das ações que visam a melhoria da maturidade no uso dos dados e o cumprimento do direcionamento estratégico estabelecido para eles.

Qual o comportamento do mercado em relação a implantação de programas de governança de dados motivados pela LGPD?

Minha visão é que o assunto ainda gera um pouco de confusão e muitas iniciativas se perdem no alinhamento de alguns princípios básicos.  O fato é que não existe a possibilidade de qualquer empresa estar totalmente aderente à LGPD sem um programa de governança de dados efetivo, porém não é possível implementar um programa desta magnitude baseado em “receitas de bolo” milagrosas.

Empresas possuem diferentes objetivos, processos e questões culturais. Desta forma, requerem soluções específicas. Adotar um modelo de governança de dados igual ao de outra empresa, não é garantia de sucesso, mas sim, um forte indício de que a iniciativa não possui um propósito e objetivos definidos.

Planilhas ou apps com questionários não colhem as expectativas e particularidades de cada área envolvida, também não são suficientes para entender os vícios e fatores culturais predominantes, além de não serem ferramentas apropriadas para propor as mudanças necessárias para evoluir o ‘mindset’ da organização em relação à gestão de dados.

A obrigação de estar aderente a uma regulamentação específica sobre segurança e privacidade dos dados ainda é algo novo no nosso cotidiano, o prazo para adequação à LGPD é curto, porém não é por causa desses fatores que devemos implementar programas de governança de dados de qualquer jeito, sem uma definição clara dos propósitos, seguindo uma espécie de efeito “manada” imposto pelo mercado, com a única preocupação de estar aderente aos requisitos de uma lei em uma data específica.

Qualquer iniciativa baseada neste tipo de conduta possui uma probabilidade muito grande de não conseguir atingir os resultados esperados até a data limite da lei, pois a dificuldade para engajar as pessoas e o retrabalho será imenso, tornando a empresa vulnerável a possíveis sanções e prejuízos à sua imagem.

Desta forma, relaciono cinco cuidados que devem ser considerados para que a iniciativa não tome um rumo inadequado.

1. Propósito

Deve ser definido já nas fases embrionárias do programa. A pergunta: por que precisamos governar dados? Deve trazer como resposta o conjunto de várias motivações ligadas às estratégias de negócio da Organização.
Os resultados da governança de dados são visíveis quando ela atua em frentes estratégicas, que agregam valor para a empresa, que a tornam mais ágil, que ajudam a diferenciar a empresa das demais concorrentes.
Se considerarmos um programa de governança de dados com um único motivador, mesmo sendo uma determinação regulatória, ele não conseguirá mostrar resultados tangíveis e será desgastado já nos primeiros meses.
Um propósito é eficiente quando é conhecido e considerado por todos, em qualquer patamar da empresa.

2. Perfis adequados para cada etapa/atividade

Ninguém contrata um cardiologista para obturar um dente e não marca consulta com um cirurgião dentista para tratar do sistema cardiovascular. Apesar de parecer algo óbvio, infelizmente, nem sempre as atividades são conduzidas por perfis adequados. Para evitar este problema, adote a seguinte divisão de responsabilidades, quando a adequação à LGPD for um dos motivadores para adotar a Governança de Dados:

• Atividades de cunho jurídico, no que tange a LGPD e demais leis, devem ser conduzidas por advogados.

• Mudanças em modelos de negócio, definição de regras de negócio e requisitos de qualidade dos dados, priorização das ações e ‘accountability’ dos dados devem ser conduzidas por profissionais de negócio, com o apoio de profissionais especialistas (advogados, consultores em Governança de Dados, segurança da informação), quando necessário.

• A viabilização e a implementação de soluções de tecnologia, bem como o provimento de toda infraestrutura necessária deve ser conduzida por profissionais de TI, de acordo com os requisitos de negócio e tecnologia estabelecidos.

• Levantamentos sobre o acervo de dados e a definição dos diagramas da arquitetura de dados devem ser conduzidos por arquitetos de dados, com o apoio dos profissionais de negócio.

• A definição de estratégias e controles para assegurar um controle efetivo sobre a segurança e a privacidade dos dados devem ser realizadas por profissionais de segurança da informação.

• Já os profissionais de governança de dados entram na proposição de um modelo de governança, definição da metodologia de gestão de dados, acompanhamento das iniciativas de melhoria e na orquestração de todas as ações envolvidas com os dados. Também cabe a esses profissionais monitorar o programa e garantir que todas as diretrizes estabelecidas em relação aos dados sejam cumpridas na organização.

• A formalização dos papéis e responsabilidades, além do estabelecimento das fronteiras até onde cada perfil profissional deve atuar é extremamente recomendada. Se um advogado começa a executar levantamentos sobre as bases de dados e um arquiteto começa a interpretar leis e propor mudanças em contratos, acredito que o resultado não será satisfatório.

3. Catálogo de dados e ferramentas de metadados

Não é uma boa ideia acreditar que somente o mapeamento e a documentação de um catálogo de dados, apoiado por uma solução de tecnologia são suficientes para afirmar que temos uma governança de dados estabelecida. Governança de dados não se resume a isso. Na verdade, tecnicamente falando, essas ações estão mais ligadas a função gestão dos metadados.

É evidente que essas ações são necessárias para a empresa estar aderente à LGPD. Também é indiscutível que a adoção de uma ferramenta agiliza e garante uma maior confiabilidade ao trabalho, porém não se sustentam com o tempo sem o apoio de um programa de governança de dados.

4. Master Data Management (MDM)

adoção de uma solução baseada em MDM pode ser indicada, na maioria das situações, para estabelecer e concentrar os dados pessoais em uma fonte única. Em teoria, a continuidade na gestão desses dados se torna mais otimizada.

Contudo, o tempo para implementação corporativa de uma solução de MDM não é tão rápido assim, e a quantidade em excesso de diferentes origens pode inviabilizar este tipo de solução. Deve-se ter em mente que, possivelmente, durante um bom tempo, a empresa ainda vai conviver com as bases legadas.

O ponto positivo é que parte do trabalho necessário para implementar o MDM, como por exemplo, o mapeamento das origens e documentação dos metadados associados aos dados pessoais, também são atividades rotineiras em um projeto de adequação à LGPD.

5. Comitês de dados

Um programa de governança de dados é legítimo quando a responsabilidade pela gestão dos dados é compartilhada entre as áreas de negócios, operações e tecnologia. A adoção de uma cultura de incentivo ao debate sobre os problemas e oportunidades com os dados, bem como o direcionamento e priorização das ações de melhoria, torna-se muito mais abrangente e eficaz quando envolve várias unidades de uma Organização. Logo, o melhor lugar para praticar este tipo de abordagem é nos comitês.

Assuntos ligados à estratégia devem ser discutidos em um comitê executivo de governança de dados. Já os assuntos ligados as formas de viabilizar as ações para o cumprimento da estratégia, regulações e melhorar as operações com os dados devem ser tratadas em comitês táticos, específicos para cada assunto. Ou seja, a criação de um comitê tático, dedicado a compreender, implantar e monitorar um programa voltado a segurança e privacidade é uma prática recomendada para adequação da empresa à LGPD.

Minha empresa está no caminho correto?

Se as observações colocadas neste artigo já são consideradas, posso afirmar que a probabilidade de sucesso é grande.

Por outro lado, se a sua empresa já iniciou um trabalho e acredita que:

• A adequação à LGPD e a governança de dados são a mesma coisa;

• O único motivador para implantar a Governança de Dados é a LGPD;

• O DPO é uma espécie de “super-herói”, capaz de assumir e resolver todos os problemas ligados a governança, segurança e privacidade que a legislação impõe;

• A utilização de uma ferramenta será suficiente para governar dados e ter um catálogo atualizado;

• Este tipo de trabalho deve ser conduzido somente pela TI e pelo Jurídico.

Trago uma péssima notícia para você: Sua empresa já desperdiçou recursos e a probabilidade da governança de dados, gerar algum retorno para a organização é muito baixa.

Meu conselho: repense a sua jornada, estabeleça um programa de governança de dados efetivo e lembre-se que faltam poucos dias para a LGPD entrar em vigor.

*Bergson Lopes é Presidente do Capítulo Brasileiro da Data Management Association (DAMA Brasil), fundador da BLR DATA e autor do livro Gestão e Governança de Dados.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail