Inovação

Contagem regressiva para a LGPD

O que sua empresa deveria estar fazendo para se adequar À nova lei?

Compartilhar:

A tradição brasileira de não levar muito a sério datas de vigência de leis está fazendo com que a Lei Geral de Proteção de Dados (LGPD), prevista para vigorar a partir de agosto deste ano, não seja levada tão a sério pelas empresas como deveria.

É verdade que já tramitam no Congresso Nacional projetos com o intuito de postergar a LGPD em até dois anos, ou fazê-la apenas educativa por um tempo. Também é verdade que boa parte da lei depende de legislação complementar e da implementação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que regulará e fiscalizará o comportamento das empresas em relação aos dados que coletam de seus clientes, mas só existe no papel. No entanto, o adiamento da lei tende a ser ruim para o País, por mantê-lo atrasado em relação a mercados como Argentina, Colômbia, Chile, México, Peru e Uruguai, entre tantos.

A recomendação dos especialistas é que as empresas rompam com outra tradição nacional, a de deixar tudo para a última hora. Segundo André Giacchetta, sócio da área de tecnologia do escritório Pinheiro Neto Advogados, “pode-se, com um certo viés de otimismo, esperar um percentual de empresas que se declarem em conformidade com a lei similar ao que se viu na Europa com a GDPR [a regulamentação geral de proteção de dados, na sigla em inglês]”. Lá cerca de 30% das empresas sentiram-se confiantes para se declarar plenamente adequadas à lei no momento de sua entrada em vigor em maio de 2018. 

Todas as empresas precisam se adaptar à nova LGPD, do salão de cabeleireiros à multinacional. Como explica Fabíola Cammarota, consultora da Marcelo Tostes Advogados, para uma empresa pequena não vai existir o mesmo nível de exigência de uma empresa grande, mas a LGPD tem uma aplicação transversal a todos os mercados e indústrias, atingindo qualquer empresa que trabalhe com dados pessoais, seja de forma digital ou analógica. “Vai ser algo parecido com o que aconteceu com o Código de Defesa do Consumidor, o que é muito interessante como processo de disseminação de cultura e conhecimento sobre proteção de dados e direito de privacidade.”

A mudança de hábito tende a ser radical. Guardar dados ad eternum, como muitas empresas fazem, para ter uma lista de contatos gigantesca, não vai ser mais possível; será preciso excluir os dados da base. Afinal,o titular de qualquer dado vai poder fazer uma reclamação na ANPD se entender que seus direitos foram violados – por exemplo, por uma ligação de telemarketing –, gerando multas e abalando a imagem da empresa. 

O maior esforço será das empresas que não têm uma prática arraigada de inovação, como diz Leandro Bissoli, sócio da PG Advogados. “As empresas digitais já estão estruturadas, no máximo terão algum trabalho de implementação de fazer sistemas diferentes conversarem”, explica. Já empresas que ainda não fizeram sua transformação digital plenamente e as do setor público terão dificuldade em adequar seus processos. 

**ADEQUAÇÃO PASSO A PASSO**

Se as empresas cujas matrizes são sujeitas ao GDPR já passaram pelo processo de adequação e só precisaram adaptar alguns parâmetros a LGPD, como diz Giacchetta, todas as outras precisam agir. Eis as principais medidas:

**1. Mapear o fluxo de dados.** Significa olhar, internamente, cada linha de fluxo de dados, mapeando que tipo de dado é coletado, onde é coletado, por onde passa dentro da empresa, para que finalidade é usado, de que maneira e por quanto tempo fica guardado. Deve-se analisar como é esse fluxo e onde estão os pontos a serem atacados e corrigidos (gap analysis).  

**2. Criar o cargo de encarregado do tratamento de dados.** Esse é o responsável pela proteção de dados na empresa e sua interface com a ANPD. Seu perfil pode variar desde alguém designado a ler os e-mails que chegam em privacidade@empresa.com.br até um DPO (executivo de proteção de dados, na sigla em inglês).

**3. Definir a política de dados da empresa.** Quais medidas de estrutura tecnológica será preciso implementar para o desafio? Podem ser, entre outras, duplicação de servidores, criptografia e área de login para lidar com solicitações do titular (como mudanças e correções de dados). Deve-se também estabelecer quem serão as pessoas que precisam ter acesso aos dados, quais restrições terão e, principalmente, em que casos pedirão consentimento do titular dos dados e como registrarão esse consentimento para evitar questionamentos. 

**4. Adequar contratos.** Esses são a vitrine que mostra como a empresa está se adequando à nova lei e devem conter a autorização expressa de clientes e fornecedores para coletar seus dados.

**ATALHOS RÁPIDOS**

Muitas organizações estão buscando acelerar a adequação concentrando-a em um departamento específico, que pode ser TI, jurídico ou recursos humanos. Isso não vai funcionar, segundo Giacchetta. “A surpresa, para as grandes corporações especialmente, é que o engajamento precisa ser de todos, não só de alguns”, diz Giacchetta. Ele se refere a todas as áreas que têm contato com dados pessoais. 

Então, como acelerar? Como conta Giacchetta, algumas empresas têm decidido não passar pelos passos iniciais do mapeamento de dados, que é a parte que demanda mais tempo e recursos em todo o projeto. “As empresas hoje estão buscando soluções alternativas a esse pacote completo de projeto de adequação e implementação da LGPD. Muitas querem saber o que dá para fazer mais rapidamente a fim de terem uma aderência mínima à LGPD. Procuramos construir métodos alternativos para a adequação, olhando muito mais para a estrutura de negócios, vendo como eles serão impactados pela LGPD e adequando-a em relação a fornecedores e consumidores. Deixando mapeamento e gap analysis para um estágio posterior”, conta o sócio da Pinheiro Neto. 

Algumas ações que não demandam muito 

tempo podem tornar visível o comprometimento da empresa com a LGPD, de acordo com o especialista. Elas vão de adequar contratos com fornecedores e pedir autorização do usuário para coletar seus dados até estabelecer regras internas de armazenamento de dados.

“A grande diferença desse método alternativo é que você não tem a visibilidade de todo o fluxo de dados dentro da empresa. Você pode ter dados que são coletados e são usados para mais de uma finalidade e isso não ser percebido, porque não foi feito o mapeamento. Você ganha em velocidade, é verdade, mas perde em visibilidade de todo o fluxo informacional dentro da companhia”, explica Giacchetta. Mas isso não significa que as empresas não terão de fazer o mapeamento em algum momento, é claro. É necessário passar por todas as etapas para ter segurança.

**UM PROCESSO DE LONGO PRAZO**

Os usuários devem perceber a LGPD quase instantaneamente. Tudo deve ficar um pouco mais burocrático para eles, que vão ser muito mais impactados com mensagens para dar OK e legitimar seu tratamento de dados, como explica Bissoli.

Porém, para as empresas, a adequação à LGPD vai ser um processo de longo prazo. Mesmo as companhias  avançadas em seus projetos adaptativos terão um trabalho residual que será realizado após a entrada da lei em vigor. “Muita gente tem se preocupado com o projeto de adequação, mas existe um trabalho tão importante quanto esse, que é o que você fará após a implementação do projeto”, explica Giacchetta. “Quais são as práticas que você adotará? Como fiscalizará a aderência à LGPD no futuro? Esse universo é incerto porque as discussões administrativas e judiciais ainda não aconteceram. Muitas das adequações ocorrerão posteriormente, em decorrência das interpretações e decisões judiciais futuras.” 

> **MELHORES PRÁTICAS DE DADOS**
>
> Bart Willemsen, da Gartner, compartilha os princípios de ambiente transparente em relação aos dados de clientes e colaboradores:
>
> **Transparência e propósito.** Essa é a base de todos os programas de privacidade. Dentro da empresa, consiste em garantir políticas de privacidade abrangentes, e explicar à equipe que dados pessoais podem ou não ser usados, como devem ser tratados e com que finalidade. Externamente, traduz-se em declarações e avisos de privacidade que expliquem que dados pessoais a empresa processa e para quê.
>
> **Subsidiariedade e proporcionalidade.** São princípios que regem a limitação de finalidades dos dados necessários para que uma organização atinja seus objetivos de negócio. A subsidiariedade exige que os líderes de SRM (sigla em inglês de gestão de relacionamento com fornecedores) olhem para seus processos de negócios e se perguntem “Podemos alcançar o mesmo objetivo com menos dados pessoais?”. Já a proporcionalidade requer que eles questionem se um objetivo pode ser alcançado com meios menos invasivos à privacidade. Para que usar reconhecimento facial quando uma simples câmera de segurança basta?
>
> **Clareza e compreensibilidade.** As informações devem ser fornecidas de modo conciso, em uma linguagem compreensível e clara. Têm de permitir o entendimento justo das expectativas, sem camadas de mensagens “implícitas”.
>
> **Relevância e contextualização.** As informações sobre o destino dos dados precisam ser providas no ponto em que são esperadas, o mais rapidamente possível e em formato acessível.
>
> **Consentimento.** Para a execução de um contrato ou acordo, os consumidores já têm a expectativa de que seu nome, endereço e detalhes financeiros serão necessários. Mas se a empresa quiser usar esses dados para marketing, por exemplo, os consumidores terão de consenti-lo. O consentimento deve ser gerenciado de modo centrado no ser humano, e não de maneira legal. Isso significa linguagem realmente clara, e não a imprecisão de uma escolha de caixas pré-selecionadas, por exemplo.
>
> **Análise de impacto na privacidade (PIA).** Deve ser realizada para determinar um motivo válido para processaro de dados pessoais, avaliar riscos envolvidos e saber tratá-los adequadamente. De preferência, deve ocorrer antes do processamento real. Avalia aspectos como:
>
> * Processos de negócios no escopo e como eles são arquitetados.
> * Objetivos do processamento de dados pessoais.
> * Quais dados pessoais são processados e por quanto tempo.
> * Como os dados são adequadamente protegidos ao longo do ciclo de vida dos dados.
> * Como é feita a experiência do usuário quanto à privacidade, incluindo a provisão de direitos de privacidade.
>
> **Privacidade e tecnologia.** Os gestores da América Latina sempre presumiram que privaci­dade era sinônimo de segurança dos dados. As novas leis regionais deixam claro que, antes de usar os dados pessoais de alguém, as organizações devem determinar a legalidade de fazê-lo, com base no contexto d0 uso e em recursos que manterão um nível mínimo de visibilidade e controle. Decisões éticas sobre minimização de dados, subsidiariedade e proporcionali­dade levarão muitas empresas a abandonarem o processamento de dados pessoais. Grupos de trabalho multidisciplinares de líderes jurídicos, de TI, segurança da informação etc. estão surgindo para discutir a privacidade – e seu impacto – com uma visão estratégica.

**O PROBLEMA MAIOR**

Como têm pouco conhecimento sobre como se proteger digitalmente, os usuários precisam confiar nas empresas com as quais estão envolvidos. 

Só que essas empresas são gigantes do capita­lismo de vigilância, como Google, Facebook e outras, e se mostram sensíveis a duas coisas: uma revolta na base de usuários e a legislação – uma que pressione em favor do indivíduo e seu direito à privacidade. Havendo baixa conscientização do público em geral sobre as atividades dessas empresas, leis como a LGPD são extremamente necessárias, segundo Bart Willemsen, analista da Gartner. 

Tanto a ameaça da lei funciona que, como diz o especialista Bissoli, uma série de grandes empresas globais com negócios brasileiros baseados na manipulação de dados pessoais já está trabalhando arduamente para melhorar no que diz respeito a transparência, porque já foram penalizadas na Europa ao ter um tratamento não muito claro de dados pessoais. 

Agora, no Brasil, o problema não são apenas as gigantes do capitalismo de vigilância. Aqui poucas empresas se preocupam com compliance. Para Cammarota, da Marcelo Tostes Advogados, a LGPD está se tornando “mais um capítulo de compliance dentro das empresas”. A conformidade só começou a ser discutida seriamente no País nos últimos cinco anos, principalmente após a Operação Lava Jato, lembra. “Realmente ainda estamos muito no início do processo.”

Compartilhar:

Artigos relacionados

Inovação
7 anos depois da reforma trabalhista, empresas ainda não entenderam: flexibilidade legal não basta quando a gestão continua presa ao relógio do século XIX. O resultado? Quiet quitting, burnout e talentos 45+ migrando para o modelo Talent as a Service

Juliana Ramalho

4 min de leitura
ESG
Brasil é o 4º país com mais crises de saúde mental no mundo e 500 mil afastamentos em 2023. As empresas que ignoram esse tsunami pagarão o preço em produtividade e talentos.

Nayara Teixeira

5 min de leitura
Tecnologias exponenciais
Empresas que integram IA preditiva e machine learning ao SAP reduzem custos operacionais em até 30% e antecipam crises em 80% dos casos.

Marcelo Korn

7 min de leitura
Empreendedorismo
Reinventar empresas, repensar sucesso. A megamorfose não é mais uma escolha e sim a única saída.

Alain S. Levi

4 min de leitura
Tecnologias exponenciais
A Inteligência Artificial deixou de ser uma promessa futurista para se tornar o cérebro operacional de organizações inteligentes. Mas, se os algoritmos assumem decisões, qual será o papel dos líderes no comando das empresas? Bem-vindos à era da gestão cognitiva.

Marcelo Murilo

12 min de leitura
ESG
Por que a capacidade de expressar o que sentimos e precisamos pode ser o diferencial mais subestimado das lideranças que realmente transformam.

Eduardo Freire

5 min de leitura
Tecnologias exponenciais
A IA não é só para tech giants: um plano passo a passo para líderes transformarem colaboradores comuns em cientistas de dados — usando ChatGPT, SQL e 360 horas de aprendizado aplicado

Rodrigo Magnago

21 min de leitura
ESG
No lugar de fechar as portas para os jovens, cerque-os de mentores e, por que não, ofereça um exemplar do clássico americano para cada um – eles sentirão que não fazem apenas parte de um grupo estereotipado, mas que são apenas jovens

Daniela Diniz

05 min de leitura
Empreendedorismo
O Brasil já tem 408 startups de impacto – 79% focadas em soluções ambientais. Mas o verdadeiro potencial está na combinação entre propósito e tecnologia: ferramentas digitais não só ampliam o alcance dessas iniciativas, como criam um ecossistema de inovação sustentável e escalável

Bruno Padredi

7 min de leitura
Finanças
Enquanto mulheres recebem migalhas do venture capital, fundos como Moon Capital e redes como Sororitê mostram o caminho: investir em empreendedoras não é ‘caridade’ — é fechar a torneira do vazamento de talentos e ideias que movem a economia

Ana Fontes

5 min de leitura