A tradição brasileira de não levar muito a sério datas de vigência de leis está fazendo com que a Lei Geral de Proteção de Dados (LGPD), prevista para vigorar a partir de agosto deste ano, não seja levada tão a sério pelas empresas como deveria.
É verdade que já tramitam no Congresso Nacional projetos com o intuito de postergar a LGPD em até dois anos, ou fazê-la apenas educativa por um tempo. Também é verdade que boa parte da lei depende de legislação complementar e da implementação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que regulará e fiscalizará o comportamento das empresas em relação aos dados que coletam de seus clientes, mas só existe no papel. No entanto, o adiamento da lei tende a ser ruim para o País, por mantê-lo atrasado em relação a mercados como Argentina, Colômbia, Chile, México, Peru e Uruguai, entre tantos.
A recomendação dos especialistas é que as empresas rompam com outra tradição nacional, a de deixar tudo para a última hora. Segundo André Giacchetta, sócio da área de tecnologia do escritório Pinheiro Neto Advogados, “pode-se, com um certo viés de otimismo, esperar um percentual de empresas que se declarem em conformidade com a lei similar ao que se viu na Europa com a GDPR [a regulamentação geral de proteção de dados, na sigla em inglês]”. Lá cerca de 30% das empresas sentiram-se confiantes para se declarar plenamente adequadas à lei no momento de sua entrada em vigor em maio de 2018.
Todas as empresas precisam se adaptar à nova LGPD, do salão de cabeleireiros à multinacional. Como explica Fabíola Cammarota, consultora da Marcelo Tostes Advogados, para uma empresa pequena não vai existir o mesmo nível de exigência de uma empresa grande, mas a LGPD tem uma aplicação transversal a todos os mercados e indústrias, atingindo qualquer empresa que trabalhe com dados pessoais, seja de forma digital ou analógica. “Vai ser algo parecido com o que aconteceu com o Código de Defesa do Consumidor, o que é muito interessante como processo de disseminação de cultura e conhecimento sobre proteção de dados e direito de privacidade.”
A mudança de hábito tende a ser radical. Guardar dados ad eternum, como muitas empresas fazem, para ter uma lista de contatos gigantesca, não vai ser mais possível; será preciso excluir os dados da base. Afinal,o titular de qualquer dado vai poder fazer uma reclamação na ANPD se entender que seus direitos foram violados – por exemplo, por uma ligação de telemarketing –, gerando multas e abalando a imagem da empresa.
O maior esforço será das empresas que não têm uma prática arraigada de inovação, como diz Leandro Bissoli, sócio da PG Advogados. “As empresas digitais já estão estruturadas, no máximo terão algum trabalho de implementação de fazer sistemas diferentes conversarem”, explica. Já empresas que ainda não fizeram sua transformação digital plenamente e as do setor público terão dificuldade em adequar seus processos.
**ADEQUAÇÃO PASSO A PASSO**
Se as empresas cujas matrizes são sujeitas ao GDPR já passaram pelo processo de adequação e só precisaram adaptar alguns parâmetros a LGPD, como diz Giacchetta, todas as outras precisam agir. Eis as principais medidas:
**1. Mapear o fluxo de dados.** Significa olhar, internamente, cada linha de fluxo de dados, mapeando que tipo de dado é coletado, onde é coletado, por onde passa dentro da empresa, para que finalidade é usado, de que maneira e por quanto tempo fica guardado. Deve-se analisar como é esse fluxo e onde estão os pontos a serem atacados e corrigidos (gap analysis).
**2. Criar o cargo de encarregado do tratamento de dados.** Esse é o responsável pela proteção de dados na empresa e sua interface com a ANPD. Seu perfil pode variar desde alguém designado a ler os e-mails que chegam em privacidade@empresa.com.br até um DPO (executivo de proteção de dados, na sigla em inglês).
**3. Definir a política de dados da empresa.** Quais medidas de estrutura tecnológica será preciso implementar para o desafio? Podem ser, entre outras, duplicação de servidores, criptografia e área de login para lidar com solicitações do titular (como mudanças e correções de dados). Deve-se também estabelecer quem serão as pessoas que precisam ter acesso aos dados, quais restrições terão e, principalmente, em que casos pedirão consentimento do titular dos dados e como registrarão esse consentimento para evitar questionamentos.
**4. Adequar contratos.** Esses são a vitrine que mostra como a empresa está se adequando à nova lei e devem conter a autorização expressa de clientes e fornecedores para coletar seus dados.
**ATALHOS RÁPIDOS**
Muitas organizações estão buscando acelerar a adequação concentrando-a em um departamento específico, que pode ser TI, jurídico ou recursos humanos. Isso não vai funcionar, segundo Giacchetta. “A surpresa, para as grandes corporações especialmente, é que o engajamento precisa ser de todos, não só de alguns”, diz Giacchetta. Ele se refere a todas as áreas que têm contato com dados pessoais.
Então, como acelerar? Como conta Giacchetta, algumas empresas têm decidido não passar pelos passos iniciais do mapeamento de dados, que é a parte que demanda mais tempo e recursos em todo o projeto. “As empresas hoje estão buscando soluções alternativas a esse pacote completo de projeto de adequação e implementação da LGPD. Muitas querem saber o que dá para fazer mais rapidamente a fim de terem uma aderência mínima à LGPD. Procuramos construir métodos alternativos para a adequação, olhando muito mais para a estrutura de negócios, vendo como eles serão impactados pela LGPD e adequando-a em relação a fornecedores e consumidores. Deixando mapeamento e gap analysis para um estágio posterior”, conta o sócio da Pinheiro Neto.
Algumas ações que não demandam muito
tempo podem tornar visível o comprometimento da empresa com a LGPD, de acordo com o especialista. Elas vão de adequar contratos com fornecedores e pedir autorização do usuário para coletar seus dados até estabelecer regras internas de armazenamento de dados.
“A grande diferença desse método alternativo é que você não tem a visibilidade de todo o fluxo de dados dentro da empresa. Você pode ter dados que são coletados e são usados para mais de uma finalidade e isso não ser percebido, porque não foi feito o mapeamento. Você ganha em velocidade, é verdade, mas perde em visibilidade de todo o fluxo informacional dentro da companhia”, explica Giacchetta. Mas isso não significa que as empresas não terão de fazer o mapeamento em algum momento, é claro. É necessário passar por todas as etapas para ter segurança.
**UM PROCESSO DE LONGO PRAZO**
Os usuários devem perceber a LGPD quase instantaneamente. Tudo deve ficar um pouco mais burocrático para eles, que vão ser muito mais impactados com mensagens para dar OK e legitimar seu tratamento de dados, como explica Bissoli.
Porém, para as empresas, a adequação à LGPD vai ser um processo de longo prazo. Mesmo as companhias avançadas em seus projetos adaptativos terão um trabalho residual que será realizado após a entrada da lei em vigor. “Muita gente tem se preocupado com o projeto de adequação, mas existe um trabalho tão importante quanto esse, que é o que você fará após a implementação do projeto”, explica Giacchetta. “Quais são as práticas que você adotará? Como fiscalizará a aderência à LGPD no futuro? Esse universo é incerto porque as discussões administrativas e judiciais ainda não aconteceram. Muitas das adequações ocorrerão posteriormente, em decorrência das interpretações e decisões judiciais futuras.”
> **MELHORES PRÁTICAS DE DADOS**
>
> Bart Willemsen, da Gartner, compartilha os princípios de ambiente transparente em relação aos dados de clientes e colaboradores:
>
> **Transparência e propósito.** Essa é a base de todos os programas de privacidade. Dentro da empresa, consiste em garantir políticas de privacidade abrangentes, e explicar à equipe que dados pessoais podem ou não ser usados, como devem ser tratados e com que finalidade. Externamente, traduz-se em declarações e avisos de privacidade que expliquem que dados pessoais a empresa processa e para quê.
>
> **Subsidiariedade e proporcionalidade.** São princípios que regem a limitação de finalidades dos dados necessários para que uma organização atinja seus objetivos de negócio. A subsidiariedade exige que os líderes de SRM (sigla em inglês de gestão de relacionamento com fornecedores) olhem para seus processos de negócios e se perguntem “Podemos alcançar o mesmo objetivo com menos dados pessoais?”. Já a proporcionalidade requer que eles questionem se um objetivo pode ser alcançado com meios menos invasivos à privacidade. Para que usar reconhecimento facial quando uma simples câmera de segurança basta?
>
> **Clareza e compreensibilidade.** As informações devem ser fornecidas de modo conciso, em uma linguagem compreensível e clara. Têm de permitir o entendimento justo das expectativas, sem camadas de mensagens “implícitas”.
>
> **Relevância e contextualização.** As informações sobre o destino dos dados precisam ser providas no ponto em que são esperadas, o mais rapidamente possível e em formato acessível.
>
> **Consentimento.** Para a execução de um contrato ou acordo, os consumidores já têm a expectativa de que seu nome, endereço e detalhes financeiros serão necessários. Mas se a empresa quiser usar esses dados para marketing, por exemplo, os consumidores terão de consenti-lo. O consentimento deve ser gerenciado de modo centrado no ser humano, e não de maneira legal. Isso significa linguagem realmente clara, e não a imprecisão de uma escolha de caixas pré-selecionadas, por exemplo.
>
> **Análise de impacto na privacidade (PIA).** Deve ser realizada para determinar um motivo válido para processaro de dados pessoais, avaliar riscos envolvidos e saber tratá-los adequadamente. De preferência, deve ocorrer antes do processamento real. Avalia aspectos como:
>
> * Processos de negócios no escopo e como eles são arquitetados.
> * Objetivos do processamento de dados pessoais.
> * Quais dados pessoais são processados e por quanto tempo.
> * Como os dados são adequadamente protegidos ao longo do ciclo de vida dos dados.
> * Como é feita a experiência do usuário quanto à privacidade, incluindo a provisão de direitos de privacidade.
>
> **Privacidade e tecnologia.** Os gestores da América Latina sempre presumiram que privacidade era sinônimo de segurança dos dados. As novas leis regionais deixam claro que, antes de usar os dados pessoais de alguém, as organizações devem determinar a legalidade de fazê-lo, com base no contexto d0 uso e em recursos que manterão um nível mínimo de visibilidade e controle. Decisões éticas sobre minimização de dados, subsidiariedade e proporcionalidade levarão muitas empresas a abandonarem o processamento de dados pessoais. Grupos de trabalho multidisciplinares de líderes jurídicos, de TI, segurança da informação etc. estão surgindo para discutir a privacidade – e seu impacto – com uma visão estratégica.
**O PROBLEMA MAIOR**
Como têm pouco conhecimento sobre como se proteger digitalmente, os usuários precisam confiar nas empresas com as quais estão envolvidos.
Só que essas empresas são gigantes do capitalismo de vigilância, como Google, Facebook e outras, e se mostram sensíveis a duas coisas: uma revolta na base de usuários e a legislação – uma que pressione em favor do indivíduo e seu direito à privacidade. Havendo baixa conscientização do público em geral sobre as atividades dessas empresas, leis como a LGPD são extremamente necessárias, segundo Bart Willemsen, analista da Gartner.
Tanto a ameaça da lei funciona que, como diz o especialista Bissoli, uma série de grandes empresas globais com negócios brasileiros baseados na manipulação de dados pessoais já está trabalhando arduamente para melhorar no que diz respeito a transparência, porque já foram penalizadas na Europa ao ter um tratamento não muito claro de dados pessoais.
Agora, no Brasil, o problema não são apenas as gigantes do capitalismo de vigilância. Aqui poucas empresas se preocupam com compliance. Para Cammarota, da Marcelo Tostes Advogados, a LGPD está se tornando “mais um capítulo de compliance dentro das empresas”. A conformidade só começou a ser discutida seriamente no País nos últimos cinco anos, principalmente após a Operação Lava Jato, lembra. “Realmente ainda estamos muito no início do processo.”
