Lei Geral de Proteção de Dados: da garantia de direitos à qualificação de padrões empresariais
Por Julio Cardozo, diretor executivo de riscos do Banco Cooperativo Sicredi
As novas condições mercadológicas impulsionadas pela transformação digital, que culminou na mutação de processos do off-line para o on-line e na necessidade de personalizar a experiência do consumidor cada vez mais adepto dos ambientes virtuais, trouxeram à tona o debate sobre o tratamento mais adequado de informações pessoais.
Nesse contexto, a LGPD (Lei Geral de Proteção de Dados) se tornou uma necessidade estratégica para o país, pois a partir da adoção de marcos regulatórios avançados como o europeu General Data Protection Regulation (GDPR) - ou Regulamento Geral de Proteção de Dados, em português, que serviu de base para criação da LGPD brasileira -, aquelas jurisdições que insistirem em não proteger os dados pessoais de seus titulares ficarão de fora da transformação digital que hoje presenciamos no mundo.
Nesse contexto, empresas de diferentes setores - especialmente as chamadas “B to C” - que elevarem seus padrões de tratamento de dados pessoais poderão ter ganhos consideráveis em reputação digital. Além de estarem em conformidade com a lei, o que é condição básica para qualquer operação, terão o reconhecimento de seus consumidores (na LGPD chamados de titulares de dados pessoais) em questões ligadas à segurança da informação, proteção de dados e confiabilidade.
Sancionada pelo Planalto em agosto de 2018, em compasso com o cenário internacional – já que diversos países da União Europeia, entre outros, já buscavam implantar legislações contemplando esta temática naquele período, a entrada da Lei Geral de Proteção de Dados em vigor, no Brasil, foi adiada devido a uma série de alterações legislativas e contextos sociopolíticos domésticos, e, após sucessivos adiamentos, continua uma certa dúvida a respeito do início da vigência da LGPD no país (possivelmente entrará em vigor em agosto deste ano, ainda que as sanções administrativas passem a ocorrer somente a partir de agosto de 2021).
As novas regras estabelecem procedimentos para o tratamento de dados pelas organizações. Regulamenta, portanto, qualquer processo que envolva a utilização de informações pessoais: a maneira como são coletadas, sua classificação, utilização, processamento, armazenamento, compartilhamento, transferência e eliminação, entre outras ações. Temas muito relevantes para os diversos setores econômicos são como vai atuar a nova autoridade nacional de proteção de dados (ANPD) e como a LGPD se relacionará com outras leis em vigor no Brasil, como a lei do cadastro positivo e o código do consumidor.
Adequar-se à nova LGPD não se trata de um processo trivial. São necessárias medidas técnicas (de TI), físicas (cuidado com documentos impressos, telas de computador desbloqueadas) e organizacionais (normativos, equipes de proteção de dados pessoais) que transformam a maneira de uma organização trabalhar com dados pessoais. É compreensível um certo atraso inicial, desde que não muito longo. Foi assim na Europa e tem sido assim nos EUA, que optou por várias peças normativas regulando a proteção de dados em várias indústrias, ao invés de uma lei única.
Do lado de fora do Planalto, empresários, profissionais de TI e aqueles que atuam em áreas diretamente influenciadas pela nova legislação buscam identificar meios para uma correta adequação de seus processos e de seu pessoal, bem como maneiras de comunicar essas mudanças a seus stakeholders, e principalmente fornecedores. É possível que, embasados nas experiências verificadas no exterior e depois de a lei ser tantas vezes adiada no Brasil, já tenham acesso a boas referências e tido tempo suficiente para adaptações – o que é considerado uma vantagem por alguns, enquanto outros ainda investigam caminhos para uma adequação sem que haja risco para seu modelo de negócio.
Revisar cada operação de tratamento de dados, a fim de verificar o que é preciso ser feito para estar em conformidade com a LGPD é algo essencial. Vale atentar, desde já, se o seu negócio já tem o controle das informações pessoais que coleta, ou seja, como as processa e o que é feito com elas desde seu primeiro registro até o momento em que são apagadas. A partir de agora, implementar políticas corporativas de proteção de dados e de avisos de privacidade é algo fundamental para empresas que atuam no Brasil ou no exterior.
Importante destacar neste contexto a mudança de cultura que as empresas terão que adotar quanto ao ciclo de vida dos dados. Treinamentos, controles, rastreamento e eventuais medidas referentes a condutas, deverão ser continuamente desenvolvidas. No Sicredi, por exemplo, já existem áreas e processos dedicados à melhoria do tratamento dos dados e atendimento à legislação. O processo de mudança ocorre por meio de treinamentos online, workshops, ações de endomarketing, melhorias nos controles de segurança e na formação de facilitadores nas áreas, chamados de Agentes de Riscos.
Todos estamos inseridos em um contexto completamente influenciado e familiarizado com as novas ferramentas digitais – principalmente as mídias sociais e as plataformas de e-commerce. Assim, os dados pessoais tomam um lugar de extrema relevância na concepção e aprimoramento de mecanismos de promoção e manutenção de negócios. A LGPD, portanto, chega como um importante instrumento para elevar os padrões de segurança nas empresas, ao mesmo tempo que, acima de tudo, que preserva direitos fundamentais dos cidadãos no que se refere a eventuais violações de sua privacidade.
Julio Cardozo, diretor executivo de riscos do Banco Cooperativo Sicredi