Pedro Nachbar Sanches, advogado do escritório Prado Vidigal
É importante incorporar a definição e a medição de Key Performance Indicators (KPIs) nas rotinas das atividades de governança em proteção de dados, recomenda o escritório Prado Vidigal
Muitas empresas vêm passando por um projeto de adequação para evitar, entre outros fatores, as sanções administrativas da Lei Geral de Proteção de Dados (LGPD), que poderão ser aplicadas a partir de agosto pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso é importante incorporar a definição e a medição de métricas de desempenho (conhecidas como KPIs – Key Performance Indicators) nas rotinas das atividades de governança em proteção de dados, segundo o sócio fundador do escritório Prado Vidigal Advogados, especialista em Direito Digital, Privacidade e Proteção de Dados, Luis Fernando Prado.
‘’Além de permitir a identificação de eventuais vulnerabilidades, a implementação de KPIs é essencial para manutenção dos trabalhos de conformidade com a LGPD, vez que garante visibilidade à alta direção em relação ao retorno dos investimentos realizados’’, explica.
De seu lado, Pedro Nachbar Sanches, também advogado do escritório Prado Vidigal, especialista em Direito Digital, Privacidade e Proteção de Dados, garante que são os KPIs que vão trazer à empresa um mapa daquilo que ainda precisa ser ajustado.
‘’É necessário definir métricas e metas factíveis, claras e eficientes para se implementar o relevantíssimo processo de medição da efetividade do programa de privacidade’’, completa.
Ou seja, os indicadores não devem refletir propósitos amplos, como garantir a disseminação do tema de privacidade e proteção de dados no ambiente de trabalho, mas sim objetivos estruturados e dimensionáveis, a partir do mínimo exigido pela LGPD. Com a progressiva evolução do programa de privacidade, metas mais desafiadoras podem ser adotadas.
Criar indicadores repetíveis também é uma solução. As métricas devem permitir análise comparativa em relação ao último período avaliado, sendo necessário que possuam capacidade de repetição. É preciso abandonar indicadores pontuais e definir critérios reproduzíveis.
Adesão ao modelo de negócio
Vale lembrar que a garantia de adesão dos indicadores ao modelo de negócio precisa ser muito observada, ou seja, as métricas devem levar em consideração as características do negócio daquela empresa em específico.
‘’Empresas com atendimento direto ao público – como o setor de varejo – devem focar em indicadores que possam medir a satisfação desses consumidores. Já empresas que não possuem este tipo de relacionamento direto com o consumidor final podem priorizar, por exemplo, indicadores que avaliem o nível de maturidade de seus parceiros de negócio e prestadores de serviço’’, indica Pedro Sanches.
Definir adequadamente o público-alvo e estabelecer papéis e responsabilidades na equipe faz toda a diferença, segundo os advogados. Definir métricas não significa contar com conjunto único de indicadores, mas sim parâmetros que quantifiquem os principais interesses de cada público-alvo (interno e externo).
Uma vez fixadas as métricas, torna-se imprescindível definir quem será o responsável por executar e monitorar cada indicador definido, garantindo reporte da eficácia destes critérios ou eventual indicação de alterações para assegurar aderência destes às necessidades da empresa.
Para facilitar a ampla adesão da empresa às metas estabelecidas, é imprescindível assegurar transparência dos ganhos obtidos a partir da medição dos indicadores. Por fim, deve-se ter em mente que definir métricas e metas é apenas o início da jornada.
‘’A verificação de efetividade demanda monitoramento ativo, investimentos de tempo e recursos, conscientização e, principalmente, constante atualização para que, por meio da evolução das métricas e das metas, os programas de privacidade ganhem maturidade ano após ano, uma vez que o nível de exigência de consumidores, reguladores, autoridades e mercado em geral em matéria de privacidade será cada vez maior’’, finaliza o sócio Luis Fernando Prado.