5 razões para não interromper seu projeto de LGPD
Hélio Ferreira Moraes – 12/05/2020
Como muitos já sabem, no último 29 de abril de 2020, foi publicada em edição extra do Diário Oficial da União a Medida Provisória 959/2020 (“MP 959/2020”), que prorrogou a vacatio legis da Lei n° 13.709, de 2018, Lei Geral de Proteção de Dados (“LGPD”) para 03/05/2021.
Embora no ano passado, minha percepção era que a LGPD entraria em vigor realmente em 16 de agosto de 2020, recentemente, por conta do estado de calamidade decretado devido a pandemia da COVID-19, uma eventual prorrogação pareceu mais próxima, tanto é assim que também foi aprovado no Senado em 03 de abril de 2020, o Projeto de Lei n° 1.179, de 2020 (“PL 1179/2020”), de autoria do Senador Antonio Anastasia, com seguinte teor "Dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19)"
Na minha visão, a MP 959/2020 é mais um efeito da crise do COVID-19, porém nos bastidores a prorrogação da entrada em vigor já era debatida há tempos, conforme acima mencionado acerca do PL 1179/2020. Assim, atualmente temos as duas normas concorrentes sendo avaliadas pelo Congresso para regularem a mesma questão e com soluções diferentes.
Independente de qual seja a efetiva prorrogação, o fato é que o Brasil precisa urgentemente de uma lei para regular o uso dos dados pessoais, e a LGPD vem elevar o Brasil aos padrões mundiais, sendo uma excelente ideia do ponto de vista tecnológico e de segurança e informação, por seguir os padrões da legislação europeia sobre proteção de dados.
Além disso, o requisito regulatório, como a LGPD, não é o único fator de propulsão para implantação de um programa de governança em privacidade. Embora seja o fator que talvez mais instigue as empresas, a falta de um programa de privacidade em relação aos dados pessoais pode ocasionar uma série de outros prejuízos para a empresa dos quais queremos indicar 5 fatores que nos chamam a atenção.
1. Reputação
Desde que começamos a implementar os projetos de LGPD ouvi de muitos clientes grandes que a multa, embora significativa, poderia nem sempre ser o fator de maior risco para eles, tendo em vista que a má reputação em relação ao uso dos dados pessoais poderia ruir seus negócios.
De fato, temos exemplos recentes como Netshoes e Yahoo em que vazamentos de dados pessoais foram decisivos para reduzir o preço ou avalição de seus negócios em transações de M&A, sem contar é claro o escândalo envolvendo o Facebook em 2018, que afetou significativamente a valorização de suas ações.
Tanto é verdade que muitas empresas investiram em sua imagem de respeito aos dados dos usuários, e a percepção geral das pessoas é que a privacidade deve ser respeitada, a maioria das pessoas já se incomoda ao extremo nos contatos não autorizados, sem contar é claro os casos de vazamento que tem sido vistos com capazes de destruir uma empresa que não tenha tomado os devidos cuidados.
2. Perdas financeiras
Os dados pessoais, chamado de petróleo do século XXI, são reconhecidos como um ativo corporativo importante que precisa ser protegido contra ameaças internas e externas. Embora esse assunto possa ter sido negligenciado no passado, por executivos seniores e conselhos de administração, estes tem percebido cada vez mais a importância de proteger as companhias contra os riscos representados por violações de dados, erros de dados, problemas de qualidade de dados e ataques cibernéticos executados por todos os tipos de hackers e funcionários ineficientes.
Recentemente o Nubank lançou uma campanha de captação de novos clientes para uma carteira, sem fundamento legal para tratamento da base de dados de prospects, e ainda que a LGPD não esteja em vigor resultou em uma ação coletiva contra a empresa, que poderá lhe ocasionar sérios impactos financeiros. No mesmo sentido o consórcio do metrô São Paulo da Linha 4 e a Hering enfrentam ações judiciais para discutir a validade do uso de reconhecimento facial em suas ações de marketing, cuja negativa da justiça irá certamente ocasionar perdas financeiras diretas para essas empresas, além dos problemas de reputação que destacamos no primeiro item.
Além disso, poucos não foram os casos recentes de empresas que foram bloqueadas por hackers exigindo resgate para devolução do acesso aos seus próprios dados, nos chamados ransomwares, que ainda que as empresas tenham backup para restaurarem suas operações, certamente tiveram tempo de inatividade dispendioso, o que por certo está motivando os executivos a prestar maior atenção às práticas de segurança de suas organizações.
A perda ou alteração dos dados pessoais pode levar ainda a perdas financeiras diretas, como vendas perdidas, multas ou demandas judiciais por indenizações, pois o fato da LGPD não ter entrado em vigor ainda tem levado muitos titulares de dados a pleitearem seus direitos em relação a privacidade perante órgão de representação como o Procon ou até mesmo judicializando a questão.
Por fim, ainda existem as potenciais perdas indiretas, devido à falta de cuidado com dados pessoais, que também ocorrem frequentemente devido à queda na confiança dos investidores e clientes fugindo para concorrentes.
3. Time to market
Usei a expressão time to market na falta de uma que melhor represente a urgência entre o tempo do início de um projeto até a venda dos produtos, para garantir a entrega no mercado. Embora a questão de proteção de dados não seja exatamente o time to market no estrito sentido da expressão, fato é que as estratégias de proteção de dados precisam estar adequadas para responder aos requisitos para operações corporativas 24 horas por dia, ou seja, o atendimento das demandas de mercado precisam ser ágeis.
Com a economia mundial cada vez mais globalizada, o tempo de inatividade não é tolerado pelos clientes, que esperam que a empresa opere de forma eficiente em todos os momentos (24 horas por dia, sete dias por semana). Assim, a incapacidade da empresa de operar devido a uma perda de dados ou mau funcionamento operacional causado por um ataque, tem levando muitas empresas a implantar estratégias amplas de proteção de dados e implementar várias medidas e controles.
4. Produtividade da equipe
A falta de estratégias de proteção de dados poderá reduzir a produtividade dos funcionários, pois as falhas de perda ou erros no tratamento dos dados pessoais obrigam os funcionários a lidar com problemas operacionais demorados (ex. suporte ao cliente, vendas, contabilidade, produção, inventário, compras, dentre outros).
Quão negativa não é a sua experiência quando tem que fazer alguma alteração de plano de empresa de telecomunicação ou TV por assinatura e precisa ficar horas com o funcionário para configurar todos os dados nos diversos sistemas da empresa que não se comunicam? Fora a quantidade de funcionários para ficarem horas com os clientes pela falta de uma base de dados e sistemas integrados, o que reduz sensivelmente a produtividade das empresas.
Uma estratégia de proteção de dados ruim pode deixar os clientes esperando por longos períodos de tempo para que os sistemas sejam restaurados após uma falha. Durante esse tempo, os funcionários podem estar ociosos ou aptos a trabalhar apenas com capacidade reduzida, diminuindo ainda mais a produtividade geral e aumentando a frustração dos funcionários.
5. Melhoria na gestão
Por fim, a falta de estratégias de proteção de dados pode ocasionar um dos problemas corporativos mais relevantes que é a tomada de decisões incorretas de gestão. O uso de dados incorretos, erros lógicos de processamento e aspectos de qualidade dos dados levam a decisões de gerenciamento incorretas em todos os níveis de gerenciamento das operações, funções, sistemas e transações corporativas.
Quão danoso não seria direcionar uma campanha de produtos de adultos para crianças ou decidir fazer um investimento em uma linha de produtos ou até uma fábrica com base em dados equivocados de sua carteira de clientes? Para citar um exemplo próprio, fui cliente há muitos anos de um dos grandes bancos que operam no mercado brasileiro e já não sou mais, encerrei a conta, entretanto, continuo recebendo SMS deste banco com mensagens alertando sobre meus boletos no DDA, ficando claro que eles tem uma inconsistência entre a base de clientes e a base de consulta aos boletos em DDA, ou seja, eles mantém meus dados pessoais até hoje e ainda continuam a invadir a minha privacidade constantemente ao consultarem meus boletos no DDA.
A melhoria da qualidade dos dados certamente diminui os erros de tomada de decisão, sendo importante as empresas analisarem como os dados são tratados, garantindo que os dados sejam coletados, tratados e armazenados corretamente em todo o ciclo de vida dos dados e que as informações certas estejam inseridas em primeiro lugar.
Indubitável, portanto, que os gestores corporativos devem proteger os dados pessoais em aspectos de privacidade e segurança (perdas, erros, danos, fraudes, comunicar dados a criminosos, entre outros), bem como garantir a qualidade de todos os dados (pessoais, financeiros, de produção, desempenho, etc.) para melhorar o processo de gestão corporativa.
Bibliografia: Kyriazoglo, John - Data Protection and Privacy Management System, Data Protection and Privacy Guide – Vol I, 1st edition, © 2016 John Kyriazoglou & bookboon.com
Futurist, Head of Innovation @Ayoo, innovation and foresight professor @DMBA + @FDC + @HSM; Columnist @CBN + @CNN Brazil and Speaker + Board Member @ Boali
4 aDomingo Montanaro Zeca Carvalho
Growth Product Manager na Claro Brasil
4 aLiana Variani
Jornalista Especialista TI l Gestão Redes Sociais l Ghost Writer l Inovação l Data l Inteligência Artificial l liderança l mulheres em TI l startups l Empreendedora l 25 anos experiência l crisbottini@channel360.com.br
4 amuito bacana a www.channel360.com.br tem publicado bastante sobre esse tema, inclusive com 1 especial sobre LGPD #channel360 #channel360o