Como todos já sabem, ou ao menos deveriam saber, a Lei Geral de Proteção de Dados Pessoais (LGPD) em breve entrará em vigor, o que tem gerado dúvidas e preocupações a muitas empresas.
Na postagem "LGPD: Quem está obrigado a cumprir a lei?", expliquei detalhadamente as questões relativas às possíveis datas da vigência da LGPD e também deixei claro que, sem o cumprimento adequado da legislação, "além da sujeição a sanções, as empresas ficarão comprometidas em termos reputacionais e, a depender do contexto em que atuem, terão severas dificuldades de continuidade de suas atividades frente ao mercado".
É claro que o descumprimento da legislação pode acarretar pesadas sanções às empresas. Mas eu particularmente acredito que a sanção pecuniária é o menor dos gravames levando-se em conta as outras opções disponíveis à futura Autoridade Nacional de Proteção de Dados. Algumas delas, para além da multa, podem de fato inviabilizar negócios e até mesmo comprometer a sobrevivência da organização.
Em uma rápida pesquisa na Internet, encontramos uma grande quantidade de consultorias aterrorizando empresas com a afirmativa de que serão multadas em cinquenta milhões de reais. Fazia tempo que não presenciávamos no Brasil um argumento de venda tão agressivo e impreciso, para não dizer inverídico: esse valor é tão somente um teto e, por evidente, a eventual multa a ser imposta será definida em razão de uma pluralidade de fatores que você encontra no parágrafo 1o. do art. 52.
Sejamos, pois, realistas e partamos de premissas verdadeiras: o que de fato acontece com as empresas que não se adaptarem à LGPD?
Acontecem muitas coisas. A possibilidade de imposição de multa está na lei, mas, a seguir a lógica do que vem ocorrendo na União Europeia desde maio de 2018 (quando o Regulamento Europeu de Proteção de Dados - GDPR - tornou-se aplicável), nem de longe esta tem sido a consequência mais significativa. Existem, na realidade, outros efeitos da desconformidade muito mais preocupantes.
De saída, muitas empresas, desde 2018, não conseguiram fechar novos negócios. "Como assim, Viviane?". Bem, quando uma empresa precisa contratar outra empresa para realizar parte do tratamento de dados pessoais, precisa ter a certeza de que essa empresa contratada está adequada à legislação.
Nessa perspectiva, muitas empresas de marketing, de cloud, de gestão de RH, de gestão de pagamentos e outros fornecedores B2B em geral simplesmente deixaram de ser contratadas pelos grande players. Por consequência, muitas delas fecharam as portas. Isso acontece porque, perante a lei, o contratante precisa ter a certeza de que o contratado está cumprindo o que ela determina. Aliás, para essa finalidade, elas formalizam um contrato para asseguraram responsabilidades e se isentarem no caso de um incidente qualquer.
Com base nessa fato, constata-se que o cumprimento da LGPD tem total relação com o mercado, o qual, sob esse aspecto, sabe se regular muito bem: serão contratadas apenas as empresas que ofertarem uma melhor conformidade.
Mas não é só. Também perante o público em geral, cresce a expectativa quanto ao uso correto e adequado dos dados pessoais, de modo que, se uma empresa não levar a sério essa questão e se não oferecer um bom nível de segurança da informação, ficará com sua reputação significativamente comprometida, aspecto bastante problemático nos dias atuais, em que vigora a rápida difusão de informações, e as quais, muitas vezes, deságuam em boicote ou no isolamento da empresa.
No mais, é bom lembrar que os titulares dos dados podem exercer diversos direitos perante as empresas e que se não houver processos devidamente configurados para esses atendimentos, arriscam-se a serem demandadas judicialmente, a par de precisarem responder à autoridade.
Esses pontos não esgotam todas as questões (eu poderia também discorrer, por exemplo, sobre a lógica das transferências internacionais), mas certamente já tiram qualquer dúvida quanto à concreta necessidade de observância da lei.
A LGPD tem uma característica interessante. Diferentemente de outras legislações, ela tem um componente prático. Dessa forma, há de fato uma grande quantidade de processos a serem alterados dentro das empresas privadas e públicas (quanto a essas há ainda algumas obrigações adicionais). Vamos então focar no setor privado.
Por onde começar?
O primeiro passo é compreender essa necessidade. Além disso, é premissa para a boa realização do projeto de implementação que todos os níveis da organização estejam cientes do seu envolvimento e das suas responsabilidades. Não gosto dessa expressão, mas tenho que admitir que a lógica mais eficiente é a que se estabelece top down. Empresas em que a alta gestão afasta-se dessa temática e relega tudo aos colaboradores tendem a ter péssimos indicadores de conformidade. É o caso clássico da afirmação de que "o exemplo vem de cima".
E por que isso acontece? Porque empresas são abstrações. Em termos práticos, a boa realização do projeto de implementação depende da ação de cada uma das pessoas que fazem parte da estrutura, independentemente do nível em que estejam ou do cargo que ocupem.
A conscientização de todos, pois, é um ponto-chave para o sucesso e que se desdobra na máxima recomendação de que ocorram treinamentos e que sejam ministrados cursos aos colaboradores.
E o projeto em si, como deve ser realizado?
Eu adoraria entregar um framework único que pudesse ser replicado em todas as organizações. No entanto, essa não é a realidade dos modelos de adequação. Empresas têm portes diferentes, atuam em segmentos distintos, operam em múltiplos ambientes e possuem pontos de atenção muito próprios, notadamente em virtude das características do negócio, que refletem no tipo de dado a ser tratado.
Além disso, as empresas ostentam graus de maturidade díspares no que se refere à organização interna e à segurança da informação, o que reclama que devam ser avaliadas com base em suas características.
Sim, é fato que há etapas-macro a serem cumpridas na forma como imaginamos, ou seja, um roadmap para o Compliance. Porém, para cada empresa deve ser construído um projeto individualizado, tomando por base aqueles parâmetros, mas fazendo-se a hierarquização de relevância. A concretização de cada uma das etapas toma por base os elementos distintivos das empresas.
Sobre as contratações, há empresas que optam por gerirem o próprio projeto, ao passo que outras o executam por meio de terceirização, tal como ocorre também com a indicação do Data Protection Officer (DPO).
Resumindo, o que é necessário saber?
Bem, o mais importante é compreender que a conformidade decorre da soma de forças de múltiplos profissionais com competências específicas. Basicamente, é necessário contar com pessoas da área jurídica, da segurança da informação e de gestão, para dizer o mínimo. Isso vale para as equipes internas e também para os prestadores de serviços de consultorias.
Se optar por contratar alguém de fora da organização, tenha o cuidado de entender como será realizada a implementação. Já sabemos de profissionais da área jurídica e também da área da segurança da informação que tentaram assumir projetos sem contar com outras competências e deixaram o contrato incompleto, isso quando não foram dispensados pelo próprio cliente.
Em minha opinião, é muito importante que as empresas entendam elas próprias a lógica do processo de implementação, mesmo quando escolhem contratar a consultoria externa. É o tipo de conhecimento que auxilia para os bons resultados. Mais do que isso, considero temerário entregar o projeto a terceiros de olhos fechados, sem a mínima noção do que irá acontecer.
Com relação às etapas, é evidente que os projetos passam por um diagnóstico inicial, ao que se seguem o próprio desenvolvimento, testes, revisão documentais e implantação da governança. Cada uma dessas etapas conta com sub-fases que se dividem em ainda outras. E todas elas são elencadas e construídas em cima da realidade da empresa.
Quanto vai custar? Depende, é claro. Consultorias grandes cobram de fato valores elevados, o que nem sempre garante bons resultados. A PWC grega, por exemplo, errou ao fazer a sua própria implementação e foi multada pela autoridade de proteção de dados local. Confira aqui.
No mais, muito do orçamento pode ser enxugado com o uso de recursos internos e nem sempre será necessária a contratação de ferramentas. Muitos dirão que sim, pois são comissionados. Portanto, pesquise o quanto puder para ter a certeza de que não gastará além do necessário.
Além disso, recomendo que seja verificada a efetiva experiência dos profissionais que se envolverão no processo, pois há literalmente milhares de pessoas ofertando essa espécie de serviço sem qualquer conhecimento da legislação. Evidentemente, é preciso seguir os parâmetros legais (já que estamos falando de uma lei) e, mesmo assim, inacreditavelmente há quem insista que o projeto reside apenas na aplicação de controles de segurança da informação.
De resto, é importante ressaltar que o projeto tem começo, meio e fim, mas que há necessidades de avaliações contínuas e de melhoramentos constantes após a sua finalização. Ou seja, as empresas precisarão adotar rotinas permanentes.
Um projeto demora de 9 a 12 meses para estar bem concluído e em breve a lei estará em vigor. É necessário, portanto, que as empresas iniciem de imediato e que executem o que conseguirem nesse momento de pandemia.
Em matéria de proteção de dados, qualquer ação bem feita por parte do agente de tratamento será vista com bons olhos pelo mercado e pelas autoridades. É melhor pouco do que nada. A conformidade não é um pacote pronto a ser entregue, mas sim um processo cíclico e ascendente de sucessivos acréscimos de parâmetros que garantam a proteção e a segurança dos dados pessoais.
Por ora, é esperado que se dê ao menos o primeiro passo. Os titulares (ou seja, todos nós, incluídas as pessoas dentro das próprias empresas) agradecem.
__________________________________________________________________________________________________________________________________
Quer aprender como IMPLEMENTAR A LGPD em sua empresa? Acesse o curso IMPLEMENTAÇÃO DA LGPD: ROADMAP PARA O COMPLIANCE da Nextlaw Academy. Aqui você tem todas as etapas do projeto de implementação.
E se quiser um curso prático e ainda mais completo, acesse aqui: CURSO PRÁTICO DE IMPLEMENTAÇÃO DA LGPD.
