Adequação à LGPD: como manter ativo o projeto em meio ao caos?

Autores: *Luis Fernando Prado Chaves e **Paulo Vidigal

Em terras tupiniquins, estamos há aproximadamente 2 semanas em cenário de total atipicidade. Em algumas regiões do mundo, esse período é ainda maior. Todo esse contexto de caos fez com que, sem dúvida alguma, prioridades fossem totalmente alteradas, sendo que, certamente, o projeto de adequação à LGPD das empresas que se preparavam para a entrada em vigor do novo marco regulatório também tende a sofrer com esse desvio de foco.

E, sinceramente, não há como ser diferente. Nem o profissional de privacidade mais purista e otimista imaginaria que os trabalhos de adequação não seriam minimamente afetados pelas justificadas preocupações trazidas pela pandemia da COVID-19. Mas quem está à frente dos trabalhos de adequação de suas respectivas empresas tem mais o que fazer do que apenas se limitar a lamentar. Nesse sentido, o objetivo do presente artigo é trazer um pouco de luz a esse momento sombrio, de forma a elencar 2 dicas principais do que dá para fazer quando a sensação é de que não há o que fazer. Vamos a elas.

1.      Acompanhar a evolução dos projetos de lei que surgem a cada dia e propõem a alteração da data de entrada em vigor da LGPD

Como sabem, à exceção dos dispositivos que criam a Autoridade Nacional de Proteção de Dados, a famigerada ANPD (não é agência!), a LGPD entrará(ia) em vigor em 16 de agosto de 2020. No entanto, os efeitos da COVID-19 fizeram com que iniciativas para postergação da Lei ou da aplicação de suas penalidades ganhassem força. Abaixo, elencamos algumas delas, sendo que a cada dia tem surgido uma nova, garantindo que não há tédio para os profissionais de privacidade:

PL 5762/2019 – Câmara dos Deputados: altera vigência plena da LGPD para 15.08.2022;

PL 6149/2019 – Câmara dos Deputados: estabelece a progressividade temporal no valor das multas a serem aplicadas;

PL 1027/2020 – Senado Federal: altera vigência plena da LGPD para 16.02.2022;

PL 1179/2020 – Senado Federal: atribui 12 meses adicionais de prazo para a LGPD entrar plenamente em vigor (esse parece ser o PL com estágio de tramitação mais avançado, pelo que se tem notícia de momento);

Emenda ao PL 1179/2020 - Senado Federal: posterga a vigência plena da LGPD para 01/01/2020; e

PL 1198/2020 – Senado Federal: posterga a aplicação das penalidades administrativas previstas na LGPD por 1 ano a partir da data da entrada em vigor da Lei.

2.      Apostar em atividades que podem ser exercidas remotamente sem impactos significativos

É claro que a incerteza sobre a postergação ou não da LGPD gera, no mínimo, curiosidade e desvio de foco, mas o profissional de privacidade mais antenado já pode ter percebido que se adequar aos novos standards de proteção de dados não é apenas uma questão regulatória, mas sim uma necessidade de mercado. Inclusive, quando a situação de normalidade voltar, driblará mais facilmente os efeitos da crise aquela empresa que investe em proteção de dados, pois já há estudo de mercado que mostra o alto retorno para aqueles que o fazem.

Portanto, para manter vivo o projeto de adequação na empresa em meios ao caos, algumas atividades podem, sim, ser executadas. Abaixo, medimos os impactos da COVID-19 nas principais atividades ou eixos de um projeto de adequação à LGPD:

O levantamento feito baseado em nossa experiência empírica mostra que, sem dúvidas, por mais aculturada que seja uma empresa em proteção de dados ou mais comprometida que seja uma consultoria externa, o boom de informações e as preocupações com saúde e manutenção da vida que atingem as pessoas fazem com que haja perda significativa do engajamento (e foco) em relação às atividades do projeto.

Além disso, como já expuseram inclusive as organizações que lutam pela postergação do enforcement do CCPA (lei californiana de privacidade), atividades que dependem da tomada de decisão apresentam grau ainda mais crítico de impacto, vez que os responsáveis pela tomada de decisão das companhias estão, no momento, reunidos e concentrados em tomar decisões outras, muito mais cruciais. Portanto, chega a ser inimaginável e insensível, no atual momento, almejar agendas para decisões que envolvam priorização de gaps, estruturação do organograma ou do programa de governança em privacidade e aprovação de políticas.

Nesse contexto, restam duas atividades que tendem a sofrer menor nível de impacto em razão das circunstâncias do momento: (i) o enquadramento de bases legais (observadas as ressalvas que já fizemos em relação à obsessão com tal atividade - aqui e aqui) e, sobretudo, (ii) a conscientização. Sobre esse último ponto, temos visto que a sociedade conectada está agora ainda mais online, consumindo conteúdo de diversas fontes. Webinars lotando, reuniões virtuais e até mesmo happy hours remotos têm sido frequentes.

Para nós, parece que, observados todos os contratempos das circunstâncias, estamos no momento adequado para investirmos em uma atividade que, geralmente, não traz custo tão elevado (como por exemplo implementação de novos processos, pessoas ou mesmo tecnologias) e, no normal que vivíamos antes, acabava sendo deixada para etapas finais do projeto. Além disso, podemos aproveitar a economia de tempo que a desnecessidade de deslocamentos diários nos trouxe para com pouco fazer muito nesse momento de caos. Dessa forma, em meio à desaceleração que a pandemia a contragosto nos impõe, por meio dos treinamentos à distância podemos manter viva a chama do projeto junto à empresa e ainda avançar na fase de conscientização dos nossos projetos, que, a depender da forma como foi conduzida, mesmo que remotamente, pode ganhar ainda mais destaque e eficácia do que treinamentos feitos em meio a outro tipo de caos: aquele de um dia comum das nossas vidas corporativas.

Por fim, reproduzindo famosa frase do mundo do Compliance, se você tem 1 centavo para investir em algo relacionado ao seu programa, invista em treinamento. No fim do dia, o que faz diferença nas atividades da organização é a conduta das pessoas, que precisam estar instruídas e aculturadas em proteção de dados – ou seu programa será de papel.

Caso queira mais informações sobre os treinamentos conduzidos pela Daniel Advogados, clique no link Smart Training abaixo e acesse nosso material.  

* Luis Fernando Prado Chaves é sócio e head da área de Direito Digital e Proteção de Dados da Daniel Advogados. Profissional de privacidade (CIPP/E) certificado pela International Association of Privacy Professionals (IAPP). Advogado reconhecido como um dos mais admirados pelo anuário Análise 500 (2019). Premiado como Legal Influencer na categoria “Leading author for Technology, Media and Telecom (TMT) - Central and South America” pelo portal jurídico Lexology. Possui mestrado (LLM) em Derecho Digital y Sociedad de la Información pela Universitat de Barcelona. Especialista em Propriedade Intelectual e Novos Negócios pela FGV DIREITO SP. Graduado em Direito pela Universidade Presbiteriana Mackenzie. Co-autor dos livros "Comentários ao GDPR - Regulamento Geral de Proteção de Dados da União Europeia" e "LGPD Comentada" (Ed. Revista dos Tribunais). Professor e palestrante convidado em diversas instituições de ensino do país. Foi pesquisador externo do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP, onde participou das contribuições ao Anteprojeto de Lei sobre Proteção de Dados (Ministério da Justiça), que resultou na LGPD.

** Paulo Vidigal é sócio da área de Direito Digital e Proteção de Dados da Daniel Advogados. Profissional de privacidade (CIPP/E) certificado pela International Association of Privacy Professionals (IAPP). Graduado e Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. Pós-Graduado em MBA em Direito Eletrônico pela Escola Paulista de Direito. Membro da Comissão de Direito Digital da OAB/SP e do Comitê de Estudos em Compliance Digital da LEC. Professor convidado em instituições de ensino, como INSPER, FIA e FIAP.