A LGPD NA VISÃO DOS GESTORES

Divido um pouco do conhecimento obtido na complexa e enriquecedora experiência na implementação da LGPD em um grupo de empresas referência no segmento em que atua.

Apresentada ao Brasil, não muito distante dos dias atuais, a LGPD chegou com uma infinidade de informações técnicas que sugerem pontos de vistas e interpretações que se entrecruzam.

Mas será mesmo que os gestores e empresas possuem uma interpretação adequada? Sem o julgamento do que está ou não certo, mas interpretando o mindset do gestor, traço esse plano de viagem que serão postados em momentos diferentes.

Muito ainda há o que se fazer e definir por parte da ANPD, porém é necessário que os gestores mantenham-se atentos para os ambientes de influência relevantes: o interno (estratégia, estrutura, processos, pessoas, habilidades) e o externo às organizações (partes envolvidas).

No plano interno:

1.                  MULTIDISCIPLINARIDADE:

Apesar de a lei ter um maior grau de sensibilidade para determinados segmentos (Ex.: Seguradoras e Instituições Financeiras) devido ao tipo de dado pessoal utilizado, a mesma afeta a todas as organizações, pois sempre há algum tipo de tratamento de dado pessoal.

Normalmente o tema entra nas companhias através dos departamentos de tecnologia e áreas jurídicas/compliance por alguns motivos, entre eles: garantia de que os dados estão em segurança (Tecnologia da Informação) e como assegurar que a companhia está em conformidade interna e externamente (Jurídico/Compliance).

É função da liderança sênior dessas empresas tratar como uma questão estratégica do negócio e, dessa forma, encarar como um projeto estrutural, regulatório, multidisciplinar e prioritário, visto que pode custar a “vida” dessa Pessoa Jurídica.

2.                 CUSTOS:

Será possível prever o investimento financeiro em projetos de adequação à LGPD? A resposta é... depende! Depende de vários fatores como tipo de dados utilizados, frequência, agentes de tratamento e outros. Mas é certo de que não será um processo indolor, pois além do custo financeiro, podemos relacionar custos menos tangíveis como transformação organizacional e cultural.

Quando falamos sobre os conceitos de “privacy by design” e “privacy by default” trazidos pela Lei, estamos falando também que a adequação precisa ser pensada não apenas no nível do próprio produto ou serviço oferecido, mas também do ponto de vista organizacional e procedimental. Estrutura, política, processos, práticas e uma cultura fortemente pensada para favorecer a proteção de dados pessoais são demandas trazidas pela LGPD e, como falado, não podemos menosprezar aqueles custos menos tangíveis que serão exigidos nesse árduo processo cujo o tempo é escasso.

Isso só enaltece o fato de que o trabalho integrado e multidisciplinar da organização é a maneira mais eficiente de abordar tal adequação.

3.                 PRINCÍPIOS ECONÔMICOS:

É normal, principalmente em meio a algumas indefinições e com prazos definidos, em nos apavorarmos para solucionar tal situação. Com a LGPD não está sendo diferente, e expandir a complexidade e as premissas de um problema além da necessidade pode não ser o melhor caminho a traçar.

Aplicando esse princípio metodológico no seu planejamento de adequação, além de pensar em soluções mais simples, podemos nos deparar com redução de custos e melhoraria na sua abordagem junto aos problemas, especialmente quando se atua com processos interdependentes e em grande escala.

Penso que começar pelo básico, formar times multidisciplinares e aprender mais sobre o atual modelo de negócio, sejam um bom começo, assim como saber quais são os dados pessoais tratados e como funciona tal ciclo de vida na estrutura da organização.

No artigo 6º, a LGPD traz um bom teste de compliance. É possível verificar se o tratamento de dados pessoais de sua organização está aderente e dá para identificar os que estão em melhor ou pior situação. Com isso em mãos, crie prioridades e trabalhe com um cronograma realista.

Tenha em mente que essa lei veio para ficar e nem tudo poderá ser resolvido no prazo de adequação.

4.                PRESTAÇÃO DE CONTAS:

Ainda sem metodologia de cálculo, porém com exigências que vão além de penalizações financeiras.

A responsabilização e a prestação de contas são parte de um princípio norteador, porque exige que você não só atenda aos demais princípios da LGPD como também seja capaz de demonstrar a aderência à Lei. É importante lembrar que a responsabilização e a aplicação de sanções serão mitigadas pelo princípio de accountability.

Supondo que a organização tenha algum problema com dados pessoais nos próximos anos, a preocupação em desenvolver procedimentos e a documentação correta para demonstrar o cumprimento com a lei pode fazer toda a diferença na imposição de sanções administrativas e nas discussões de responsabilidade civil. Além disso, a prestação de contas é um importante fator de proteção da reputação de sua organização e ajudará em questões não restritas ao plano jurídico.

5.                 PERGUNTAS X RESPOSTAS INTERNAS:

O Brasil ainda não possui uma cultura muito bem enraizada a respeito de privacidade e proteção de dados pessoais. Se comparada a GDPR, a Lei Brasileira (LGPD) é mais geral e aberta e possui um bom potencial de integração normativa. Ainda não existe histórico suficiente e jurisprudência muito bem consolidada a respeito do assunto e temos uma agencia reguladora (ANPD) recém-formada e em vias de estruturação.

Isso significa que não temos um norte? Não!!! A palavra que se sustenta nesse momento é prudência. Prudência em todos os aspectos e pensamento em compliance com as melhores práticas global.

Muito se especula sobre o que irá acontecer e temos um biênio riquíssimo pela frente com as definições que virão da agência reguladora. Definições precisam estar mais claras e objetivas, assim como o tipo de responsabilidade assumida: Civil? Objetiva ou Subjetiva? Agentes solidários?); enfim questões que serão de grande relevância para os negócios.

6.                 VOCÊ CONHECE BEM O SEU NEGÓCIO? 

A lei é importante, mas antes se faz necessário conhecer o seu negócio e realizar um diagnóstico em sua estrutura. Embora todos sejam de alguma forma impactados pela LGPD, o nível de impacto pode ser muito diferente em cada segmento visto a amplitude e diversidade dos dados pessoais e dados pessoais sensíveis tratados. Dessa forma, comece por entender qual a relação entre tratamento de dados pessoais e o modelo de negócio atendido. Tenha em mente que uma lei como essa terá fortes impactos competitivos e de imagem e pode favorecer as que mais se conhecem.

No plano externo:

7.                 A ANPD...

 Existiu um estudo e planejamento a respeito da criação da ANPD? Se teve eu não sei a resposta, mas temos que ter a consciência de que podemos ter as 2 respostas (Sim e Não). A ANPD terá autossuficiência orçamentária? Será que a estrutura até então desenhada terá aptidão e “parrudez” para desempenhar funções de regulação, fiscalização e eventualmente consultorias?

Inicia-se um capítulo importante que é o diálogo entre empresas do setor privado e o órgão para sequenciar com o processo de adequação à lei, mas ainda engatinhando.

De modo geral, penso que seja de consenso que a ANPD é a autoridade central de interpretação da lei, possui a atribuição da regulação e implementação da LGPD e servirá, talvez de modo exclusivo, para aplicar as sanções administrativas e financeiras previstas na lei.

8.                 JUDICIÁRIO:

O tema da proteção de dados pessoais é novo, no entanto imaturo, e extremamente complexo, e seria importante cobrar dos órgãos responsáveis pela administração do Judiciário um aparato de preparação para os juízes que em breve (alguns já estão) passarão a julgar casos relacionados. Não se deve subestimar e minimizar a necessidade dessa preparação para que a lei não seja banalizada.

9.                 ENGAJAMENTO:

As discussões não são recentes no Brasil e no mundo. Estimo que há pelo menos 10 anos já falamos a respeito de proteção de dados. A falta de participação ativa dos setores privados no passado não pode ser cometida novamente e a chamada da ANPD para trazer as instituições privadas ao contexto e discussões são de grande valia para todo o processo. É fundamental que essas organizações não se preocupem somente com aspectos internos. Esse setor precisa se articular, desenvolver estratégias sustentáveis e econômicas com o ecossistema e influenciar os agentes estatais envolvidos (incluindo a ANPD e o Judiciário) para que a implementação e a regulação da LGPD se deem em termos racionais e objetivos e possam, de fato, maximizar os dois objetivos externados no texto: a proteção de direitos e liberdades fundamentais, de um lado; e o desenvolvimento social e econômico por meio da inovação, de outro.

10.              PERGUNTAS X RESPOSTAS EXTERNAS:

As dúvidas da sua empresa certamente serão de seus principais parceiros envolvidos. Seus concorrentes, seus fornecedores de serviço, seus clientes corporativos, o Judiciário, o Executivo... todos estão em alguma fase de aprendizado, tratando o tema de privacidade de dados pessoais conforme as suas prerrogativa, perspectivas e poder de assunção de riscos.

A Atual fase em que estamos é extremamente decisiva e pode influenciar demais todo o contexto e moldura da lei. Nós gestores precisamos ter em mente que o processo de construção e entendimento da LGPD não acabou e que o engajamento externo é tão importante quanto o planejamento interno de adequação.

Embora não esgotem o tema, as considerações feitas neste texto podem ajudar os gestores a ter um quadro de ação mais organizado para enfrentar os diferentes aspectos da adequação sem esquecer o que importa. Afinal, o cumprimento da lei não é um fim, mas um meio necessário e que não pode deixar de lado as atribuições de seu negócio.

#lgpd #dpo #informationsecurity #dataprivacy #dataprotection