Por Gabriel Hayduk (*)
A Lei Geral de Proteção de Dados (LGPD) trouxe uma série de novos direitos que, até então, não existiam. A lei expõe, de forma clara, que os dados são do titular e não das empresas e, com essa afirmação, toda a dinâmica de tratamento dos dados muda.
As empresas, sejam elas públicas ou privadas, são diretamente impactadas, considerando que precisam criar uma nova governança de tratamento dos dados pessoais, além de respeitar pontos basilares da lei: seus onze princípios e dez bases legais. O desafio é ainda maior quando se trata de PMEs (pequenas e médias empresas), considerando o investimento necessário para criação da nova governança exigida pela lei.
Tal qual um Programa de Compliance, não há começo, meio e fim para o processo de adequação à LGPD – é uma série de adequações contínuas, orquestradas não só pela lei, mas também, e principalmente, pela Autoridade Nacional de Proteção de Dados (ANPD) que, desde dezembro, está vigente e em pleno funcionamento no Brasil.
Os desafios da ANPD são inúmeros. Desde a criação de um framework delineando os mecanismos de transferência internacional de dados, data localization (exigência de que qualquer entidade que processe os dados de cidadãos de um determinado país deve armazenar essas informações em servidores dentro das fronteiras daquele país), regras específicas de tratamento de dados pessoais para startups, prazo de resposta aos titulares de dados, articulação com órgaos públicos e autoridades de dados de outros países, dentre tantos outros pontos.
As mudanças são inúmeras, mas vale destacar que, com a vigência plena da LGPD, o Brasil tem um grande desafio de chegar ao patamar de adequação de países que já tratam essa questão de forma rotineira. Na União Europeia, por exemplo, países como a Alemanha possuem uma cultura de proteção de dados há mais de quarenta anos. Esse é um ponto crucial para a transferência internacional de dados, que ganha cada vez mais espaço nas relações comerciais, sejam elas no âmbito público ou privado.
Acredito que não há uma empresa brasileira que não precise se adaptar a esse novo cenário. Até mesmo multinacionais que já estavam acostumadas às regras rígidas do GDPR (lei de proteção de dados europeia, similar à LGPD) tiveram que tropicalizar alguns pontos relevantes da lei no atual cenário brasileiro.
É crucial a definição de uma nova governança para o tratamento de dados pessoais – e isso, por si só, já afeta toda e qualquer empresa. É preciso criar novas bases na governança corporativa e, consequentemente, ter que lidar com a cultura da empresa, que também é afetada. Todos os colaboradores precisam ser muito bem treinados e conscientizados sobre a maneira correta de lidar com dados pessoais. E, nesse cenário, entram novas políticas, guias corporativos, canal com o especialista responsável pelo projeto de adequação, treinamento de terceiros, entre outros. Enfim, existem muitas questões em jogo e que merecem toda a atenção.
Porém, velhos hábitos, na maioria das vezes, não são fáceis de serem remodelados. Por isso a importância de demonstrar individualmente o valor agregado que o tratamento dos dados pessoais traz para uma empresa. Não se trata apenas de mais uma questão burocrática imposta às empresas, mas sim de fazer dessa mudança uma vantagem competitiva e uma relação cada vez mais transparente e ética com a sociedade.
Em poucos anos, tudo será regido por dados e a LGPD, assim como a ANPD, terão um papel fundamental nesse contexto. Novas regulamentações serão propostas, sem sombra de dúvida. Algumas delas, inclusive, já estão no Congresso Nacional aguardando direcionamento interno. A questão da segurança no tratamento dos dados é algo muito discutido nos dias de hoje.
No último ano, vimos grandes empresas, sejam elas públicas ou privadas, tendo que lidar com incidentes de segurança dos mais diversos – vazamento de dados, ataques cibernéticos, prover ferramental para as equipes de forma segura durante home office e tantos outros exemplos. Tal cenário só evidencia ainda mais a relevância de uma Autoridade Nacional de Proteção de Dados ativa e com comunicação aberta com a sociedade.
Acredito que no médio prazo será mais fácil para as empresas conseguirem alcançar um patamar razoável de compliance com a LGPD, mas é oportuno e relevante enfatizar que não adianta apenas comprar softwares robustos no mercado se não tiver colaboradores realmente dedicados a proteger dados pessoais.
O apoio da alta liderança é um dos pontos mais relevantes durante todo o programa de adequação. Existem inúmeras formas de combater as adversidades durante o projeto de adequação e uma das mais importantes, nesse contexto, é ter pessoas genuinamente engajadas nesse grande desafio.
(*) Gabriel Hayduk é Data Protection Officer (DPO) na Tecnobank.