Gestor de TI e DPO na Dana, Fernando Biehl diz que os desafios humanos são ainda maiores que as questões técnicas no dia a dia da liderança em TI
“O mercado de proteção de dados está crescendo, mas ainda falta regulamentação. Se você pegar a lei para ler do início ao fim, ainda há vários pontos a serem definidos. Por isso, algumas empresas decidem não fazer nada e esperar para ver o que vai acontecer”, relata Fernando Biehl, que em 2018 passou a estudar, primeiro, a GDPR (General Data Protection Regulation), regulamentação europeia que inspirou a brasileira LGPD (Lei Geral de Proteção de Dados). Desde então, o engenheiro mecânico e gestor de TI da Dana vive esse tema no dia a dia, acumulando também o cargo de DPO, ou Data Protection Officer, da empresa.
Mas não se engane com a carga de palavras em inglês ou a sopa de letrinhas que o pessoal da TI adora – na prática, a liderança de tecnologia, para Fernando, é muito mais sobre gente do que sobre técnica. O executivo é nosso quinto entrevistado da série de podcasts “Líderes que Transformam” e conta sobre sua dupla jornada na Dana, o atual cenário da LGPD e os rumos do mercado da proteção de dados no Brasil.
Quer saber como foi o bate-papo? Abaixo, você lê parte dessa conversa. A íntegra mesmo está lá no podcast, no link abaixo:
Fernando, você tem formação em engenharia mecatrônica, já trabalhou em diferentes setores, está há mais de cinco anos na Dana, mas, além da sua carreira de gestor de TI, você trilhou um caminho também em segurança da informação, tanto que você acumula o cargo de DPO da Dana. Como foi que o seu caminho enveredou para a proteção de dados?
Fernando Biehl: Tenho uma formação bem técnica, em engenharia mecatrônica, que nada tem a ver com segurança de dados, mas acabei migrando para a TI. Nos últimos anos, trabalhei muito próximo à infraestrutura, e a área de segurança está muito ligada a ela.
O assunto da LGPD começou a me despertar atenção em 2018, quando a lei foi promulgada. A partir daí, fui atrás, comecei a estudar, fiz cursos online, me certifiquei como DPO. Aquilo me chamava muita atenção, mas aqui na Dana esse assunto ainda não era realidade, e eu acabei achando interessante e que poderia ajudar a empresa nisso. Alguns meses depois de tirar a certificação, recebi um e-mail do jurídico me perguntando como poderíamos pensar a respeito. Dali em diante, passei a trabalhar junto ao departamento jurídico na elaboração do plano de adequação à LGPD. São áreas que precisam trabalhar juntas, há muitas questões de documentação e revisão de dados. Dentro da Dana, é uma parceria que existe entre o jurídico e a TI.
Foi muito uma questão de interesse particular que acabou evoluindo para uma nova posição dentro da Dana.
Essa posição de DPO acabou aparecendo até como uma obrigatoriedade ali dentro do texto da LGPD. Tenho a sensação de que esse cargo de DPO não pegou na grande maioria das empresas. Na verdade, são poucas as empresas que realmente dedicaram a estrutura para cuidar da proteção de dados. Você percebe isso dessa maneira? O quanto isso te consome nessa sua atuação como DPO?
Fernando Biehl: No Brasil, a definição do cargo seria “encarregado”. Então, o mercado adotou DPO, que é o termo utilizado na Europa. Existem muitas empresas com DPO, mas essa ainda é uma demanda muito interna, por isso há essa impressão de que a maioria não tem esse profissional. O que é mais raro de ver é uma empresa que tenha um DPO exclusivo, ou seja, alguém que tenha somente essa responsabilidade. Aqui, por exemplo, eu sou gestor de TI, em outras empresas há casos em que o gestor de compliance acaba acumulando esse cargo, em outras é o gestor do jurídico. Isso porque o volume de trabalho ainda não é grande. Fora os projetos de adequação, não existem demandas que exijam trabalho constante – as oito horas diárias de um DPO.
Acredito que no futuro o DPO será como um contador, até as empresas pequenas contratarão esse serviço para atividades específicas, mesmo que de forma terceirizada. No caso de empresas grandes ou com grande exposição, é necessário que seja um profissional interno.
É um mercado que está crescendo, mas que ainda falta regulamentação. Se você pegar a lei para ler do início ao fim, ainda há vários pontos a serem definidos. Por isso algumas empresas decidem não fazer nada e esperar para ver o que vai acontecer.
Confesso que há uns dois meses eu parei de acompanhar essas atualizações sobre LGPD, mas sei que até pouco tempo atrás a Autoridade Nacional de Proteção de Dados ainda tinha uma série de pontos a definir sobre isso. Ao mesmo tempo, você tem previsto para agosto o início da fiscalização. Como fica esse descompasso?
Fernando Biehl: Na verdade, começaria a aplicação das multas. Mas, pelo que entendi, as autoridades querem agora fomentar o conhecimento sobre o assunto, e não sair aplicando multas. Eles querem realmente trabalhar a questão da cultura.
Nós não temos essa cultura de proteção de dados. Fizemos uma lei que é uma cópia da lei europeia, que é uma construção de anos de conscientização das pessoas e das empresas. A lei europeia é o final de um caminho que já vinha sendo trilhado há mais de 10 anos. No nosso caso, nós não tínhamos nada, agora temos a lei. Estamos criando a conscientização depois da lei. E os diretores da Autoridade Nacional entenderam isso, porque sabem que você não consegue mudar a cultura das empresas e das pessoas em um estalar de dedos.
Não deve ser nada fácil ser DPO em um cenário de tantas incertezas. Eu queria que você falasse um pouco sobre o quanto esse esforço sobre a LGPD já impactou ou deve impactar a estratégia de TI e a própria estratégia da Dana como um todo.
Fernando Biehl: Um dos pontos principais para iniciar essa caminhada é estudar internamente a questão e conseguir um parceiro para ajudar nesse processo. A metodologia faz toda a diferença. Contratamos um escritório que já tinha experiência nisso, inclusive com certificações da GDPR, para criar esse processo de adequação. Uma das primeiras coisas dentro dessa metodologia é a conscientização de cima para baixo – ou seja, começando pelos diretores, gerentes, CEOs, passando por todo mundo até entender o porquê estamos fazendo aquilo, e comprar essa ideia.
Tentar empurrar não funciona, é preciso convencer as pessoas. Muitas vezes, as pessoas acham que DPO é um cargo técnico, mas ele tem a função de engajamento, de unir todo mundo para o mesmo entendimento, tentando atingir um único objetivo. O DPO deve ter um perfil agregador porque precisa que todo mundo trabalhe com o mesmo foco. Se as áreas não estão engajadas, o levantamento de dados dos usuários tende a ser pobre.
A gente acompanha as notícias e vê esses grandes casos de vazamento de dados, episódios muito graves, até mesmo na esfera pública, ficaram cada vez mais comuns. A impressão é de que os incidentes com vazamento de dados só aumentam conforme tudo fica cada vez mais digital, quando tudo vai para a nuvem. Faz sentido para você essa percepção? Na sua opinião, onde as empresas estão errando?
Fernando Biehl: Faz sentido. O crime sempre cresce em proporção ao ganho possível. Hoje, as empresas estão com muito medo de serem expostas na mídia. Existe essa cultura do medo e isso é bem forte na LGPD. Eu, sinceramente, não concordo, mas existe.
Há muita coisa que não sai na mídia. Nós, os profissionais de proteção de dados, acreditamos que, assim como hoje existe o “advogado de porta de cadeia”, também vai existir o “advogado de porta de data center”. Eles vão ficar na espreita ou ali tentando viabilizar casos de exposição de dados pessoais.
Essa cultura do medo da LGPD criou um monstro onde eu creio que não exista. A ideia agora no início não é sair aplicando multa, até porque a estrutura de fiscalização ainda não foi criada de forma efetiva.
Meu maior medo não são os pontos técnicos, e sim as pessoas. A pessoa que não deveria ter acesso, tem. A pessoa que deveria ter acesso, tem, mas tem má índole. A pessoa que precisaria ter o acesso, mas está descontente com a empresa por algum motivo. Existem vários pontos que me preocupam muito mais do que a questão técnica. E esse foi um trabalho bem forte no RH. Historicamente, todos os colaboradores do departamento têm acesso a tudo. Começamos a fazer um trabalho forte no RH para entender se todo mundo realmente precisava ter acesso a todas as informações. E a gente descobriu que não. Tudo isso ajuda a diminuir o risco.
A primeira vez que ouvi falar em um evento sobre cloud computing foi em 2009. De lá para cá, isso só aumentou, mas me lembro que naquela época o argumento era custo – vai custar mais barato. O que a gente descobriu, depois de algum tempo, é que não é mais barato. Mas por que as empresas continuam investindo? No meu ponto de vista, tem a ver com a simplificação. O cloud computing junto com o serviço as a service transformaram a vida da TI de maneira a ficar mais simples. E é isso que as empresas estão buscando, a simplificação do ambiente.
Por outro lado, elas também estão terceirizando responsabilidades sobre algumas coisas. Se isso um dia vai voltar para dentro das empresas novamente? Talvez. Trabalho com TI há quase 30 anos e vejo que ela funciona em ciclos. Não sei como vai ser o futuro, mas sei que estamos caminhando e a Dana está indo bem forte na cloud computing, desativando alguns data centers. E a justificativa não é custo, mas simplificação e, em alguns casos, segurança.
Eu adorei vários pontos que você colocou, Fernando. Um deles foi esse movimento cíclico das coisas, e isso eu nunca tinha ouvido de nenhum CIO. Nesse mundo de TI, muitas tendências se transformam em dogmas: caminhos sem volta.
Fernando Biehl: Pode ser diferente e vai mudar. É preciso estar aberto para isso. O que você comentou faz sentido, existe um dogma. “Como assim você não tem nada na nuvem?”. Existe esse preconceito com quem não foi para a nuvem. Eu não tenho esse preconceito, até porque existem coisas que valem a pena estar na nuvem, e existem coisas que, por diferentes razões, não podem estar.
Poucos dias atrás, saiu uma notícia sobre o movimento #BrasilPeloMeioAmbiente, que é organizado pela Amcham (Câmara Americana de Comércio no Brasil) com a participação de várias empresas brasileiras. Entre elas, a Dana Indústrias. Eu queria que você explicasse essa convergência entre sustentabilidade e o negócio da Dana, que envolve oferta de soluções de transmissão e gerenciamento térmico/energético. E, também, a quais desafios de negócio a área de TI serve, nesse contexto.
Fernando Biehl: Esse projeto da Amcham foi bem legal. Participamos com dois projetos, sendo um deles a emissão de zero efluentes. Na nossa planta de Gravataí, a maior que temos na América do Sul, temos zero emissão de efluentes. Ou seja, toda a água que usamos é tratada e reutilizada dentro da nossa planta. O outro projeto é de 100% reciclagem dos resíduos de borracha. Iniciamos todo um projeto para reciclar a borracha, transformando-a em pó e envolvendo outros fornecedores para transformar o pó em outros produtos.
A nossa indústria é do ramo metal mecânico, ou seja, é característica do nosso negócio gastar muita energia, muita água, muito óleo. A gente tende a ser uma empresa muito poluidora, mas há algumas décadas a Dana trabalha para que isso não ocorra. Tentamos ter o menor impacto ao meio ambiente. E ser ecologicamente correto custa caro.
Em relação ao gerenciamento térmico/energético, a empresa nasceu junto com a indústria do automóvel, e nós estamos evoluindo junto com ela. E, agora, nada mais óbvio do que evoluir para a eletrificação também. Nos últimos sete anos, a gente vem comprando empresas e agregando tecnologias de eletrificação. Hoje, somos a única empresa capaz de fornecer para veículos comerciais toda a parte de transmissão, geração e armazenamento de força.
Temos consciência de que a tecnologia de eletrificação não é dizer que a empresa é sustentável. Tudo depende muito da matriz energética do local. No Brasil, acreditamos que o mercado de veículos comerciais elétricos vai crescer muito nos próximos anos, muito antes dos veículos de passeio. A gente está investindo em ter uma equipe forte aqui no Brasil só para os projetos de eletrificação.
E como a TI influencia nisso? Por exemplo, na parte de eletrificação, grande parte do trabalho está relacionado a software, então não são mais componentes mecânicos que gerenciam de um lado para o outro. Recentemente, compramos uma empresa do Canadá focada em desenvolver aplicativos para gerenciamento de energia. À medida que a eletrificação vai avançando dentro do nosso portfólio, a necessidade de sistemas que suportem isso vai aumentando.
É a tendência, né, Fernando? Quando a gente fala de unidade fabril, dessa integração das tecnologias da informação com tecnologias da operação, isso é um movimento sem volta.
Fernando Biehl: Aqui a gente já tem um projeto de abastecer toda a área administrativa com energia solar. É um projeto que já vem evoluindo há alguns anos, ainda não conseguimos aprovar o payback dele. No Brasil ainda não temos, mas nos Estados Unidos e na Europa temos várias plantas em que a área administrativa e alguns data centers são suportados por painéis solares.
Fiz uma série de perguntas que você, como profissional de origem técnica, poderia ter respondido com visão mais tecnológica, e você sempre traz o viés das pessoas. Esse continua sendo seu maior desafio hoje?
Fernando Biehl: Com certeza. Eu nunca deixei de gostar da questão técnica, tanto que fora da Dana eu tenho um laboratório de fabricação digital. Dentro da empresa e como líder, me dei conta que essa não é a minha função: ter a resposta técnica para tudo. Minha função é facilitar o trabalho do restante da equipe e fazer com que eles acreditem na visão da empresa ou na minha visão sobre os projetos, sobre o departamento, sobre que rumo deveríamos tomar. No momento em que todo mundo entende e acredita nessa visão as respostas técnicas são naturais. Eu sou feliz fazendo com que a equipe atinja seus objetivos.
Ouça a entrevista na íntegra aqui.
Leia também:
‘Líderes que transformam’ | episódio 3: “Quando a crise passa, ela deixa um rastro de boas práticas”