The Shift

Atender à legislação é um desafio e uma oportunidade

O cenário de adequação à LGPD começou em 2108, quando a Lei foi promulgada. Mas por uma minoria, que já havia despertado para o tema proteção de dados pessoais por causa do Regulamento Geral de Proteção de Dados (GDPR) já vigente na Europa. A maioria das empresas brasileiras se fiou na possibilidade de uma postergação da Lei, para além de agosto de 2020.

De fato, estudos recentes, como este da Resultados Digitais, acima, dão conta de que, ainda hoje, mais da metade das empresas brasileiras não está minimamente em conformidade com a Lei. Sequer iniciou o seu processo de adequação, que está mais para uma maratona, do que para uma corrida de 100 metros. Há mesmo quem considere que o processo de conformidade tem linha de partida, sem uma linha de chegada, e já será preciso revisitar políticas e controles permanentemente, enquanto a lei vigorar.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

Pode ser até que as empresas que se esforçaram para entrar em conformidade com a Lei precisem rever todo o trabalho à medida que a Autoridade Nacional de Proteção de Dados (a ANPD) iniciar o trabalho de regulamentação de pontos ainda obscuros para a sua aplicação prática.

“A maturidade em proteção de dados pessoais não é estática”, explica Samara Schuch, sócia da área de Cybersecurity da KPMG. “Se você abandona o assunto, a maturidade regride. As informações ficam desatualizadas, e os processos também”, afirma.

Requisitos para a adequação

É sempre muito difícil traduzir a intenção do legislador, ou o que está escrito na lei, para a prática. Então, independente da metodologia usada, a primeira tarefa da jornada de conformidade é aterrissar a LGPD para o seu negócio ou atividade.

A partir daí, o rol de afazeres é grande e quase sempre obriga a contratação de ajuda externa. Por isso, duas figuras estão em evidência: os advogados especializados em privacidade e proteção de dados e os integradores de sistemas, em especial os da área de segurança e gestão de riscos.

Para empresas de médio e grande porte que façam uso intensivo de dados, outra tarefa inicial é a designação de uma equipe multidisciplinar interna, abrangendo desde o time de TI até a equipe jurídica, de compliance, de RH, de Marketing e de compras, entre outras, para acompanhar o trabalho de conformidade.

Na sequência, ou em paralelo, convém iniciar um inventário dos dados mantidos pela empresa. E a criação de uma política de classificação desses dados. Etapas fundamentais para entender quais dados a empresa coleta, como eles chegam na organização, qual o propósito de sua utilização, onde e como esses dados são armazenados, como são usados, por quem, para onde estão sendo enviados e como serão descartados. E para posterior criação de uma trilha auditável dos dados.

Investir em boa governança dos dados, que considere a ideia do ciclo de vida desses dados para a organização, é superimportante.  Ajuda a encarar a legislação não somente como uma obrigação, mas principalmente como uma janela de oportunidade para repensar processos.

Na prática, tanto o inventário quanto a trilha de auditoria devem estar no rol de conformidade de instituições de qualquer porte ou segmento: escritórios de advocacia e outros profissionais liberais, consultórios médicos, associações de classe, ONGs, cooperativas, partidos políticos, etc, São eles que darão suporte ao encarregado de proteção de dados (que no GDPR se convencionou chamar de DPO – Data Protection Officer) para governar a política de proteção de dados da organização, identificar os processos que necessitam de ajustes e até prestar contas para a ANPD e demais autoridades, para a própria empresa e, sobretudo, para os donos (titulares) dos dados.

Por falar no encarregado de proteção de dados, a definição de quem assumirá esse papel é outra tarefa obrigatória. Estamos falando de uma posição que, até segunda ordem, deve existir em todas as companhias que sejam controladoras de dados, independente do seu tamanho e ramo de atividade.

Supondo que a maioria das empresas hoje processe pelo menos alguns dados pessoais, o texto da lei tende a indicar que cerca de 4,5 milhões de empresas brasileiras (sem falar nas empresas estrangeiras sujeitas à LGPD) precisariam nomear DPOs em resposta à lei. Claramente, esse número não é uma estimativa realista. Noventa e nove por cento das empresas brasileiras são pequenas organizações, muitas vezes empregando apenas uma ou duas pessoas e provavelmente não será exigido delas que atendam a esse requisito.  Mas isso quem vai determinar é Autoridade Nacional de Proteção de Dados (a ANPD).

De acordo com a LGPD, o encarregado é alguém que cuida da proteção de dados pessoais dos cidadãos, com autonomia para fiscalizar o tratamento que as instituições fazem desses dados, e habilidades para ser a interface entre as instituições e as autoridades e os titulares dos dados. Para tornar prática corrente o texto complexo e abstrato da lei, o encarregado precisa atuar em várias frentes: desde orientar o controlador (a quem competem as decisões referentes ao tratamento de dados pessoais) a estar em conformidade com a lei, até conscientizar todos os funcionários e parceiros sobre a importância da proteção e do tratamento adequado dos dados pessoais.

Simplificando muito, o encarregado é uma espécie de guardião, responsável pela disseminação da cultura de proteção de dados dentro das organizações e da adequação delas ao que estabelece a lei. Em seu trabalho, ele auxilia as instituições a adaptar seus processos para garantir o uso correto e seguro dos dados pessoais sob a sua tutela.

No Brasil, assim como na Europa, as legislações não proíbem a possibilidade de terceirização das atribuições do encarregado para o que se convencionou chamar de DPO as a Service. Mas alguns acadêmicos são contrários à prática.

“Terceirizar a função de DPO é perder a oportunidade de internalizar a cultura de proteção de dados. Muitas vezes, o terceiro é encarado como corpo estranho à organização. Raramente ele terá dedicação exclusiva a ela. E conhecerá profundamente suas atividades”, comenta o professor e fundador do Data Privacy Brasil, Bruno Bioni.

Ele defende que toda organização tenha o seu DPO. “Mesmo que seja um funcionário que tenha outras atribuições, mas que conheça profundamente a LGPD”, argumenta. “É uma responsabilidade muito grande para ser delegada por completo a um terceiro”.

Só a partir desses passos será possível tratar o mais importante, começando pela mudança da cultura organizacional no sentido de incutir a preocupação com a proteção de dados pessoais na mente e na atuação de todos os colaboradores.

E, em paralelo, definir as bases legais para as atividades de processamento de dados da organização, revisitar todos os processos, adaptar os canais de atendimento para as demandas de direitos dos titulares e revisar todos os contratos à luz das novas obrigações legais, começando pelos princípios definidos pela LGPD: tratamento de dados; finalidade; adequação; necessidade; livre acesso; qualidade dos dados;  transparência; segurança; prevenção; não discriminação; e responsabilização e da prestação de contas, explicados nesse vídeo por Fabrício da Mota Alves, sócio do Garcia de Souza Advogados e representante do Senado no Conselho Nacional de Proteção de Dados, órgão assessor da ANPD.

O princípio de Privacy by Design (Privacidade por concepção) também entra no rol de boas práticas para a adequação à LGPD. Produtos e serviços devem ser concebidos e projetados com privacidade como uma prioridade absoluta, juntamente com quaisquer outras finalidades que atendam. É o que vai garantir que o usuário, titular dos dados, esteja no centro de toda a atividade da organização. E também o que vai prevenir a ocorrência de problemas.

Além disso, será preciso ajustar os planos de respostas a incidentes. Observar a adequação dos parceiros com os quais há troca de dados, uma vez que a lei fala em responsabilidade solidária. Identificar o fluxo de dados com organizações internacionais, se for o caso, e estabelecer um mecanismo de transferência de dados seguro.

Como a lei já está em vigor, por onde começar?

Por mais que um programa de adequação à LGPD seja complexo e tenha várias frentes a serem cobertas, há algumas frentes que são a vitrine exposta para os titulares dos dados e que, portanto, oferecem maior risco.

“Eu recomendaria primeiro nomear um encarregado da proteção de dados”, diz Samara Schuch, da KPMG. “A identidade do encarregado deve estar publicada no site da empresa”.

Também é preciso ajustar as políticas de privacidade e os contratos e termos de uso para que reflitam as regras definidas pela lei. E, por fim, estar preparado para atender aos direitos dos titulares, aconselha Samara.

Os consumidores não estão mais dispostos a se relacionarem com empresas que não demonstram transparência e preocupação com a segurança de seus dados pessoais. “As empresas que não se adaptarem à LGPD e a esse contexto de gerar privacidade e confiança para o consumidor, não só vão perder mercado. Elas correm o risco de não conseguirem se manter no mercado”, opina.

Em contrapartida, as empresas que se anteciparem e forem assertivas nessa jornada certamente terão ganhos significativos de reputação e na diferenciação de estratégias direcionadas para a geração de receitas e alavancagem de negócios.

Custos da adequação

É muito difícil determinar o custo médio do processo de adequação. Primeiro, porque são muitas as variáveis envolvidas: a metodologia utilizada, o porte da empresa, o volume e a natureza dos dados tratados, o nível de risco e por aí vai. Algumas empresas contratam o kick off, assessment, identificação dos gaps, uma avaliação de risco, e seguem sozinhas com as demais atividades a partir daí.

Segundo, porque a adequação, como falamos é um processo contínuo.  Muitas organizações calculam quanto gastar alocando uma certa porcentagem de seu orçamento para a proteção de dados.

Geralmente, as grandes empresas usam como base para cálculo as estimativas feitas pelas consultorias internacionais em relação ao GDPR. A Ernst & Young (EY) calcula que a conformidade com o regulamento tenha custado às empresas Fortune 500 aproximadamente US$ 8 bilhões. Já a International Association of Privacy Professionals (IAPP) fala em US$ 1,1 bilhão para as empresas FTSE 350. Esses custos incluem gastos com advogados, consultores, pessoal e tecnologia.

Uma coisa é certa: qualquer que seja o gasto com o processo de adequação, ele sempre será uma fração mínima do custo reputacional e dos custos com as eventuais multas nos casos de incidentes.

Vale ressaltar que o desenvolvimento de um programa de adequação certamente será considerado um fator relevante no cálculo de uma possível infração, caso aplicável. E aí, de novo, se tomarmos o GDPR como parâmetro, as reclamações de violação de dados aumentaram muito desde que o regulamento europeu entrou em vigor. Mas a aplicação de multas tem sido comedida. De julho de 2018, até hoje, foram 394 no total, segundo o GDPR Enforcement Tracker.

Vale lembrar também que a LGPD é mais flexível e menos restritiva que o GDPR, inclusive por ter mais bases legais para o tratamento de dados, como é o caso do legítimo interesse. Mas isso em nada ameniza o trabalho de adequação. Pelo contrário, exige que seja ainda mais cuidadoso.

LEIA TAMBÉM: