As normas da LGPD devem ser observadas pela União, Estados, Distrito Federal e Municípios. (art. 1º, parágrafo único daLGPD). Por isso, a vigência da lei - ainda que parcial - exige que as organizações públicas implementem uma verdadeira governança de proteção de dados no setor público (Art. 50 da LGPD). É justamente sobre isso que falaremos hoje.
Nosso propósito é discutir os aspectos práticos para a efetiva implementação da lei. Caso você queira compreender os pontos teóricos sobre a LGPD e o setor público, dirija-se ao excelente artigo já escrito aqui no blog da Nextlaw Academy pela Dra. Caroline Vivas clicando aqui.
1. Sem planejamento e governança não funciona.
Para implementar a LGPD no setor público, a equipe deve compreender a importância da governança e do planejamento. A primeira pode ser entendida como a capacidade que os governos têm de avaliar, direcionar e monitorar a gestão das políticas e serviços públicos, objetivando o efetivo atendimento das necessidades e demandas da população [1]. Já o segundo – planejamento - diz respeito à prática de criar o futuro, adaptando-se à realidade conforme as mudanças dos ambientes internos e externos da organização pública.
Sob a ótica da proteção de dados, os agentes públicos responsáveis pela implementação da LGPD devem realizar um planejamento estratégico (de longo prazo) levando em consideração que a organização é um sistema, em que as suas partes buscam esforços para alcançarem um objetivo comum, mas que podem existir interesses conflitantes nesse jogo político-administrativo.
Dessa forma, a habilidade de equacionar conflitos precisa estar presente na equipe que implementará o programa de proteção e dados no setor público (sobre isso, recomenda-se o estudo do denominadoPlanejamento Estratégico Situacional – PES, de Carlos Matus).
Esses profissionais também precisam aplicar estratégias de governança. Desse modo, a utilização de tecnologias gerenciais, como a gestão de riscos, a gestão estratégica, a gestão de mudanças, a gestão de projetos e até mesmo a gestão ágil, podem auxiliar nesse processo de análise, direcionamento, monitoramento e avaliação da governança de proteção de dados na realidade pública.
Entretanto, tais estratégias, por si sós, não bastam no setor público. É que nesse contexto há sempre o fator político direta ou indiretamente aplicável. Por isso, a equipe que implementará a LGPD precisará adquirir habilidades de coalização de defesas, de convencimento sobre a ótica dos interesses legítimos em proteção de dados, além de atuar constantemente na arena de políticas públicas relacionadas a essa questão. Sem essa sensibilidade, o projeto será mais um checklist a preencher, sem qualquer valor de mudança cultural em proteção de dados.
2. A cultura é mais importante que a estratégia.
Como dizia Drucker: “a cultura devora todos os dias a estratégia no café da manhã”. Isso significa que se você deseja fracassar na implementação de um programa de proteção de dados no setor público, renegue a cultura organizacional.
A cultura organizacional demonstra os ritos, os costumes, as práticas, a rotina e as crenças de um determinado grupo[2]. No setor público, seus agentes, em regra, têm uma certa aversão ao risco e às mudanças, embora isso nem sempre aconteça.
A burocracia weberiana, sob a ótica das inovações que a LGPD representa, evidencia justamente esse cenário, porque pode ser vista sob a perspectiva da alienação, da dominação e do poder racional-legal [3] em detrimento de um modelo mental favorável ao novo, ao risco e às oportunidades que podem surgir em toda implementação da governança de proteção de dados.
Muitos agentes públicos que não vivem a realidade de proteção de dados podem receber essa mudança organizacional de modo reativo e negativo. Dessa maneira, a equipe de implementação da LGPD deve trabalhar para criar uma cultura favorável à proteção de dados, de modo que os colaboradores possam ter respostas às perguntas básicas, tais como: Qual é o motivo dessa mudança? Por que ela é necessária? O que eu vou ganhar e o que eu vou perder com ela? Vou ter de trabalhar mais? Quem vai me apoiar? No fim, qual é o objetivo disso tudo?
Essas dúvidas são naturais a todos aqueles que “sofrem” um processo de mudança organizacional. O ser humano tende à inércia, e tudo aquilo que o retira dessa condição pode ser desconfortável no início. A equipe de implementação da LGPD precisa atentar-se a isso.
Se as respostas aos questionamentos acima não estiverem claras para os colaboradores, há uma grande chance de que eles boicotem o programa de implementação da LGPD. Sugere-se, então, que a equipe de implementação utilize o modelo ADKAR® de mudança organizacional.
Esse modelo define o processo para a mudança em cinco etapas: awareness (consciência) da necessidade da mudança, desire (desejo) de participar e apoiar a mudança, knowledge (conhecimento) sobre como mudar, ability (habilidade)para implementar novos comportamentos necessários e reforço (reinforcement) para sustentar a mudança. [4]
Desse modo, a equipe de implementação da LGPD deve apresentar aos colaboradores as vantagens de sua execução, como a informação de que os dados são fundamentais para a tomada de decisões racionais e eficientes para a formulação de políticas públicas mais satisfatórias aos cidadãos [5]
A motivação negativa – que nada mais é doque o alerta sobre as sanções da lei – é válida, mas não deve ser a única fonte de convencimento, uma vez que os agentes políticos, que serão aqueles que realmente tomarão as decisões mais importantes para o processo de implementação da LGPD, vislumbram as vantagens e benefícios para seu mandato ou gestão.
3. O encarregado de proteção de dados é um ator essencial.
O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção deDados (art. 5º, inciso VIII da LGPD).
Esse profissional, no âmbito do setor público, precisa ser alguém com múltiplas habilidades técnicas e comportamentais. Quanto às primeiras, ele precisa conhecer os aspectos jurídicos de proteção de dados no setor público, ter noção das normas e orientações de segurança da informação e entender de governança de dados.
Já no que diz respeito às habilidades comportamentais, o encarregado precisa ser um exímio comunicador, ter um excelente relacionamento interpessoal e satisfatória capacidade de negociação.
Para a realidade pública, é preciso que exista uma normativa devidamente publicada que descreva as atribuições e os poderes deste profissional. É recomendável que ele se reporte diretamente à autoridade máxima da organização, que tenha acesso irrestrito aos departamentos administrativos para desenvolver os trabalhos relacionados à sua área de atuação e que possua independência funcional suficiente para tomada de decisões sobre os assuntos de proteção de dados. [6]
A estratégia jurídica para a indicação do encarregado ainda se apresenta complexa. Muitos especialistas discutem se ele deveria ser nomeado via cargo em comissão, função gratificada ou concurso público.
Contudo, para fins práticos, é preciso analisar que a não nomeação desse profissional pode acarretar mais prejuízos à sociedade do que a demora causada por eventuais discussões sobre o formato jurídico correto. (vide os artigos 20 e 22 da Lei nº 13.655/18).
Desse modo, de posse de um parecer jurídico que sugira os caminhos jurídicos possíveis para a nomeação do encarregado, deve o gestor escolher o mais apropriado, indicando-o em tempo razoável, sob pena de ser responsabilizado por negligência.
4. O treinamento dos colaboradores é o elo entre a estratégia e a cultura.
Numa era de mudanças tecnológicas aceleradas, o conhecimento se tornou o ativo mais importante para o desenvolvimento de qualquer organização. Nela, as máquinas dão lugar à inovação e à criatividade. Vamos do tangível ao intangível. Não seria diferente com o setor público, que passará por mudanças profundas na sua de forma entregar valor aos cidadãos.
Desse modo, as organizações públicas precisam atualizar seus profissionais para que esses estejam preparados para adita sociedade 5.0. [7] A criação de um planejamento estratégico de treinamento é um trabalho a ser conduzido por todos os gestores e coordenado pelos setores de departamento pessoal e de planejamento das organizações públicas. [8]
Sob a perspectiva prática, é aconselhável a utilização de metodologias inovativas de aprendizagem, com uso da educação digital a distância (esse formato de ensino gera economicidade de recursos e de tempo).
Pode-se, ainda, aplicar o ensino híbrido, a aprendizagem por pares, a sala de aula invertida, a gamificação, o ensino adaptativo, simuladores educacionais com realidade virtual, ou mesmo a aprendizagem baseada em problemas ou projetos.
Independente da metodologia - que deve ser implementada com criticidade conforme as necessidades didáticas e pedagógicas – é muito importante que o treinamento em proteção de dados siga uma lógica. O grande desafio dos educadores no trabalho de design instrucional é aliar a técnica pedagógica com a motivação discente, buscando evitar o desinteresse e a evasão dos alunos. [9]
Por isso, recomenda-se a utilização do modelo ADDIE®em sua estruturação. Esse modelo divide o projeto de design instrucional em fases, que vão desde a análise, o desenho, o desenvolvimento, até a implementação e a avaliação do treinamento, de forma a gerenciá-lo com mais efetividade.
Outra metodologia interessante para a educação corporativa em proteção de dados no setor público é chamada de 6Ds®. Essa metodologia explica que a finalidade do treinamento é o resultado prático comprovável.
Por isso, essa metodologia aconselha que, ao desenhar um programa de treinamento em proteção de dados, precisamos aplicar os 6Ds, que são: determinar os resultados do negócio, desenhar uma experiência completa, direcionar a aplicação e definir a transferência do aprendizado, dar apoio à performance e, finalmente, documentar os resultados.
O treinamento deve consideração a multiplicidade de profissionais da equipe de implementação da LGPD e o contexto de cada departamento administrativo da organização pública, com adaptação da linguagem, dos interesses, dos objetivos e dos resultados pretendidos.
5. CONSIDERAÇÕES FINAIS
A LGPD encontra-se vigente e aplicável aos entes públicos. A importância da proteção de dados no setor público é relevante, tendo em vista a evolução tecnológica e pelo fato de ele deter os dados essenciais do cidadão, como os de saúde, educação, previdência social e mobilidade urbana.
Para fins práticos, é relevante que a equipe de implementação da LGPD nas organizações públicas aplique, em cooperação com o encarregado, a governança, o planejamento, as estratégias, acultura e o treinamento contínuos aos colaboradores de modo a gerar valor público aos cidadãos.
[1]CAVARIELI, Davi Valdetaro Gomes. Governança de dados e programa de compliance digital na administração pública: contribuições da LGPD para a integridade governamental. LGPD e administração pública [livro eletrônico]: uma análise ampla dos impactos / coordenadores Augusto Neves Dal Pozzo eRicardo Marcondes Martins. -- 1. ed. -- São Paulo: Thomson Reuters Brasil,2020.
[2]PETTGREW, A. M. On study organizational cultures. Administrative Science Quarterly, 24(4):570-581, 1979.
[3]DE FARIA, José Henrique; MENEGHETTI, Francis Kanashiro. Burocracia como organização, poder e controle. RAE-Revista de Administração de Empresas, v.51, n. 5, p. 424-439, 2011.
[4] HIATT, Jeffrey. CREASEY, Timothy J. Gestão de Mudanças: o lado humano da mudança. 1ª ed. Colorador, EUA, Prosci, 2012.
[5] SANTOS, Marcela de Oliveira; MOTTA,Fabrícia. Regulação do tratamento de dados pessoais no Brasil – o estado da arte. LGPD e administração pública [livro eletrônico] : uma análise ampla dos impactos / coordenadores Augusto Neves Dal Pozzo e RicardoMarcondes Martins. -- 1. ed. -- São Paulo: Thomson Reuters Brasil, 2020.
[6]MOTTA, Fabrício. Estruturação do cargo de DPO em entes públicos. Data Protection Officer [livro eletrônico]: teoria e prática de acordo com a LGPD e o GDPR / Renato Opice Blum, Rony Vainzof, Henrique Fabretti Moraes, coordenadores. -- 1. ed. -- São Paulo : Thomson Reuters Brasil, 2020.
[7] GABRIEL, Martha. Você, eu e os robôs: pequeno manual do mundo digital. 2ª Reimpr. São Paulo: Atas, 2018.
[8] JACOBY FERNANDES, Jorge Ulisses. JACOBY FERNANDES, Ana Luíza Queiroz Melo. Contratação de treinamento: teoria e prática. 2, ed. Curitiba: Negócios Públicos do Brasil, 2015. 245 p.
[9] SAVIOLI, Carolina; TOREZANI, Gabriela.Design Instrucional e Negócio Digital. 1ª ed. Brasília, 2020, 170p.
[10] COSTA, Debora. Modelo ADDIE. Must University. Miami, 2012, 14p.
[11] WICK, Calhoun; POLLOCK, Roy;JEFFERSON, Andrew. 6Ds: as seis disciplinas que transformaram a educação em resultados para os negócios. 1ª ed. São Paulo. Editora Évora. 2011, 384p.
___________________________________________________________________________________________________________________________________
Quer aprender sobre IMPLEMENTAÇÃO DA LGPD? Clique aqui.
