Por Claudio Castanheira (*)
A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, percorreu um longo e tortuoso caminho desde a sua publicação em 2018. À época tudo parecia bastante simples: a lei entraria em vigor 24 meses depois da sua data de publicação, em 14 de agosto de 2018, tendo como única exceção as regras que envolviam a criação da Autoridade Nacional de Proteção de Dados, que entraria em vigor no dia 28 de dezembro de 2018, devido à necessidade de se estruturar o órgão fiscalizador.
No entanto, muitos fatos ocorreram nesse meio tempo, e, dentre eles, o mais significativo foi a pandemia do Covid-19, que trouxe muitas incertezas para a adequação das empresas para a LGPD. Afinal de contas, seria mantida ou não a data de entrada em vigência para agosto de 2020?
A resposta para essa pergunta não foi simples, e a solução dada (depois de um imbróglio político e legislativo) foi que a LGPD entraria em vigor em 14 de agosto 2020, sendo a única exceção as regras relativas a multas (o temido artigo 52), que entraria em vigor apenas um ano depois. Em síntese, a LGPD é uma lei que “entrou em vigor” em três momentos diferentes: primeiro, a parte referente à organização da Agência Nacional de Proteção de Dados (ANPD), depois do restante da legislação e, por último, a aplicabilidade das multas (que entrarão em vigor em agosto).
O problema principal desse “fatiamento” (embora compreensível) é que a gestão da entrada em vigor da LGPD foi extremamente confusa para as empresas e para os profissionais da área, sendo a decisão final sobre a postergação da entrada em vigor das multas tomada literalmente semanas antes da data prevista para o seu início. Esse clima de incerteza gera a famigerada “insegurança jurídica”, e o que se viu no mercado é que muitas empresas simplesmente optaram por aguardar uma decisão, evitando assim esforços e gastos com a adequação.
De qualquer forma, o principal impacto do fatiamento da LGPD é que o mercado assumiu, mesmo sem ser adequado, que o prazo de fato da LGPD é agosto de 2021, amparado no fato de que as penalidades só serão aplicadas nesse momento e, desta forma, apenas ali que deveriam ser efetuado os esforços.
O problema é que esse enfoque nas penalidades, embora muito compreensível, é pouco abrangente e deixa de lado uma série de questões importantes: a primeira delas é que a LGPD, para ser corretamente implementada, requer mudanças importantes na organização e processo da empresa, e isso vai desde as medidas de cunho jurídico até as ligadas a tecnologia da informação.
A partir da nossa experiência é possível afirmar que um dos principais obstáculos a ser enfrentado pelas empresas é a sua inerente interdisciplinaridade, além do fato de que, em se tratando de um tema novo, é pouco comum que as empresas possuam especialistas internamente para todas as disciplinas. Por exemplo, algumas empresas dão a responsabilidade pelo projeto de adequação ao departamento de Tecnologia da Informação, outras ao departamento Jurídico. No entanto, as informações e competências necessárias para a gestão, implementação e acompanhamento desse tipo de projeto tipicamente encontram-se distribuídas em mais áreas.
O resultado disso é que existem esforços “invisíveis” para adequação que vão além do esperado na parte jurídica - não basta apenas criar contratos, políticas e procedimentos (que são essenciais, mas não se sustentam sozinhos), e, ao mesmo tempo, não é só questão de possuir uma infraestrutura de segurança da informação adequada. Ambos esses aspectos são necessários, mas não suficientes para que um projeto de adequação à LGPD seja implementado com sucesso na organização.
Ao subestimar de um projeto de adequação à LGPD (e de suas próprias organizações), as empresas estão optando pela estratégia (novamente, compreensível, mas inadequada) de postergar ao máximo sua adequação. Isso só vai gerar projetos não adequados e/ou, mais custos para a empresa, que vai ter que investir esforços e recursos que poderiam ter sido programados em maior tempo em uma janela apertada.
As empresas devem motivar-se a aproveitar ao máximo os esforços para adequação à LGPD. Um resultado muito comum, por exemplo, é que as organizações, depois de passarem pelo necessário mapeamento do fluxo de dados pessoais, reviram seus processos de forma integral, o que permite a melhoria interna da gestão e do compliance de áreas que não são diretamente relacionadas, isso sem contar que as melhorias de segurança da informação são proveitosas para a organização como um todo.
É possível perceber no mercado uma crescente preocupação com o tema e esforços de adequação. As organizações têm se conscientizado de que a LGPD, de fato, será aplicada e de que é necessária. Sua adequação mesmo que tardia é melhor do que uma não adequação. Podemos concluir que esse (quase) primeiro ano de LGPD se mostrou como uma preparação, um despertar das organizações para o tema, e que ocorrerá uma movimentação mais significativa de adequações no segundo semestre.
(*) Claudio Castanheira é Diretor-Geral da ClarkeModet Brasil.