Segunda-feira, 15 de junho de 2020
A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), adiada mais uma vez, ao que tudo indica acontecerá a partir de 1º de janeiro de 2021, caso haja aprovação pela Câmara dos Deputados e sanção da Presidência da República. Estamos no meio de um cenário de indecisão, com diversos procedimentos entre Medida Provisória e Projetos de Alteração da Lei correndo paralelamente, com prazos diferentes. As penalidades, contudo, teoricamente, começarão a ser aplicadas a partir de agosto do ano que vem. Ou seja: as empresas contam com pouco mais de um ano, no máximo, para se adequarem à forma como coletam, tratam, armazenam, utilizam e compartilham os dados dos seus stakeholders.
A lei foi criada exatamente com o intuito de elevar a responsabilidade das empresas no tocante às informações utilizadas, assim como fornecer mais autonomia às pessoas físicas, as reais proprietárias dos dados. Segundo um estudo da Serasa Experian, 85% das empresas brasileiras declararam ainda não estarem preparadas para atender às exigências da LGDP.
Na prática, o processo para adequação passa por três etapas: preparação, implementação e gerenciamento. Listei a seguir cinco dicas sobre como as adequações poderão ser feitas na prática:
Um comitê multidisciplinar com a participação dos diferentes setores da empresa deve ser criado: profissionais das áreas de TI, RH, jurídico, marketing, governança e relacionamento com clientes, por exemplo, deverão integrar o comitê. O time terá a missão de mapear processos, riscos ao negócio, sugerir ideias práticas à implementação das novas regras e disseminar conhecimento a respeito da proteção de dados para todos os colaboradores. Levantado todos os riscos e ajustando-se às principais recomendações, será possível elaborar políticas de governança, de proteção de dados, de privacidade, de segurança da informação e outras mais que, com o tempo, possam se mostrar necessárias. Todos os gestores da empresa devem estar engajados e compreendendo os desafios que serão demandados das suas equipes. Também deve ser definida a contratação de um DPO (Data Protection Officer), que será o responsável por toda a governança de dados da companhia e poderá liderar o comitê ou assumir a função para continuidade dos trabalhos após a implantação. O DPO pode ser interno ou externo, dependendo do perfil da empresa;
Comitê multidisciplinar criado, a próxima etapa é mapear, sem exceção, todas as áreas e todos os processos da empresa, olhando sempre onde e como os dados são utilizados. Ou seja: o mapeamento precisa considerar para que finalidade (e como) as informações estão sendo coletadas, tratadas, armazenadas, utilizadas e compartilhadas, seja interna ou externamente. Sistemas de gestão de dados eficientes podem e devem ser usados nessa etapa: eles vão garantir a privacidade dos dados de acordo com as diretrizes de adequação estabelecidas pela própria empresa. Com a LGPD, o controle e o tratamento dos dados devem se tornar um compromisso e uma responsabilidade. Usar plataformas confiáveis pode poupar muitas empresas do risco. Neste cenário, surgem dois tipos de plataformas: as CDPs, hub central de dados; e as plataformas de gestão de consentimento, responsáveis por controlar e gerir o consentimento dos seus usuários. Muita responsabilidade recairá sobre tais plataformas, que carregam também os maiores riscos de penalidades caso venham a descumprir itens considerados na nova lei;
Mapeado o fluxo de dados, será imprescindível criar um plano de proteção dos mesmos que contemple não apenas as adequações iniciais à LGPD, mas também a operacionalização do planejamento na estrutura organizacional: seja por meio da terceirização de serviços, ou via criação de estruturas próprias. Revisões e ajustes periódicos de curto, médio e longo prazos devem ser constantes. Os artigos 50 e 51 descrevem itens essenciais de boas práticas que podem ser usados como verdadeiras checklists ao avaliar o seu próprio plano de governança;
Anonimização é um elemento importante na LGPD. É também um dos termos mais frequentemente usados. Contudo, é preciso cuidado, pois nem toda criptografia garante anonimização como refere a L13709. Vale a pena investir em plataformas e tecnologias confiáveis. Dados anonimizados não são considerados pessoais e, portanto, não estão sujeitos às penalidades da lei (Art.12). Todavia, é necessário estar atento para as definições sobre dados anonimizados e anonimização usadas na lei. Mesmo sem especificar tecnologias, tais detalhes sugerem obrigatoriedade na atualização tecnológica, remetendo à “utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (Art 5).
As diferentes alternativas precisam ser consideradas. Independentemente do tamanho da empresa, o escopo de abrangência da LGPD é complexo e as multas por descumprimento são pesadíssimas. O artigo 52, que descreve as sanções administrativas, menciona multas de até 2% do faturamento da pessoa jurídica. Portanto, é importante que seja avaliada a necessidade de se buscar conhecimento técnico especializado, seja por meio da capacitação da própria equipe ou da contratação de uma consultoria técnica especializada. O investimento, sem sombra de dúvidas, valerá à pena.
Comentários