Lei Geral de Proteção de Dados: da garantia de direitos à qualificação de padrões empresariais
*Julio Cardozo
As novas condições mercadológicas impulsionadas pela transformação digital, que culminou na mutação de processos do off-line para o on-line e na necessidade de personalizar a experiência do consumidor cada vez mais adepto dos ambientes virtuais, trouxeram à tona o debate sobre o tratamento mais adequado de informações pessoais.
Nesse contexto, a LGPD (Lei Geral de Proteção de Dados) se tornou uma necessidade estratégica para o país, pois a partir da adoção de marcos regulatórios avançados como o europeu General Data Protection Regulation (GDPR) - ou Regulamento Geral de Proteção de Dados, em português, que serviu de base para criação da LGPD brasileira -, aquelas jurisdições que insistirem em não proteger os dados pessoais de seus titulares ficarão de fora da transformação digital que hoje presenciamos no mundo.
Nesse contexto, empresas de diferentes setores - especialmente as chamadas “B to C” - que elevarem seus padrões de tratamento de dados pessoais poderão ter ganhos consideráveis em reputação digital. Além de estarem em conformidade com a lei, o que é condição básica para qualquer operação, terão o reconhecimento de seus consumidores (na LGPD chamados de titulares de dados pessoais) em questões ligadas à segurança da informação, proteção de dados e confiabilidade.
Sancionada pelo Planalto em agosto de 2018, em compasso com o cenário internacional – já que diversos países da União Europeia, entre outros, já buscavam implantar legislações contemplando esta temática naquele período, a entrada da Lei Geral De Proteção de Dados em vigor, no Brasil, foi adiada devido a uma série de alterações legislativas e contextos sociopolíticos domésticos, e, após sucessivos adiamentos, continua uma certa dúvida a respeito do início da vigência da LGPD no país (possivelmente entrará em vigor em agosto deste ano, ainda que as sanções administrativas passem a ocorrer somente a partir de agosto de 2021).
As novas regras estabelecem procedimentos para o tratamento de dados pelas organizações. Regulamenta, portanto, qualquer processo que envolva a utilização de informações pessoais: a maneira como são coletadas, sua classificação, utilização, processamento, armazenamento, compartilhamento, transferência e eliminação, entre outras ações. Temas muito relevantes para os diversos setores econômicos são como vai atuar a nova autoridade nacional de proteção de dados (ANPD) e como a LGPD se relacionará com outras leis em vigor no Brasil, como a lei do cadastro positivo e o código do consumidor.
Adequar-se à nova LGPD não se trata de um processo trivial. São necessárias medidas técnicas (de TI), físicas (cuidado com documentos impressos, telas de computador desbloqueadas) e organizacionais (normativos, equipes de proteção de dados pessoais) que transformam a maneira de uma organização trabalhar com dados pessoais. É compreensível um certo atraso inicial, desde que não muito longo. Foi assim na Europa e tem sido assim nos EUA, que optou por várias peças normativas regulando a proteção de dados em várias indústrias, ao invés de uma lei única.
Do lado de fora do Planalto, empresários, profissionais de TI e aqueles que atuam em áreas diretamente influenciadas pela nova legislação buscam identificar meios para uma correta adequação de seus processos e de seu pessoal, bem como maneiras de comunicar essas mudanças a seus stakeholders, e principalmente fornecedores. É possível que, embasados nas experiências verificadas no exterior e depois de a lei ser tantas vezes adiada no Brasil, já tenham acesso a boas referências e tido tempo suficiente para adaptações – o que é considerado uma vantagem por alguns, enquanto outros ainda investigam caminhos para uma adequação sem que haja risco para seu modelo de negócio.
Revisar cada operação de tratamento de dados, a fim de verificar o que é preciso ser feito para estar em conformidade com a LGPD é algo essencial. Vale atentar, desde já, se o seu negócio já tem o controle das informações pessoais que coleta, ou seja, como as processa e o que é feito com elas desde seu primeiro registro até o momento em que são apagadas. A partir de agora, implementar políticas corporativas de proteção de dados e de avisos de privacidade é algo fundamental para empresas que atuam no Brasil ou no exterior.
Importante destacar neste contexto a mudança de cultura que as empresas terão que adotar quanto ao ciclo de vida dos dados. Treinamentos, controles, rastreamento e eventuais medidas referentes a condutas, deverão ser continuamente desenvolvidas. No Sicredi, por exemplo, já existem áreas e processos dedicados à melhoria do tratamento dos dados e atendimento à legislação. O processo de mudança ocorre por meio de treinamentos online, workshops, ações de endomarketing, melhorias nos controles de segurança e na formação de facilitadores nas áreas, chamados de Agentes de Riscos.
Todos estamos inseridos em um contexto completamente influenciado e familiarizado com as novas ferramentas digitais – principalmente as mídias sociais e as plataformas de e-commerce. Assim, os dados pessoais tomam um lugar de extrema relevância na concepção e aprimoramento de mecanismos de promoção e manutenção de negócios. A LGPD, portanto, chega como um importante instrumento para elevar os padrões de segurança nas empresas, ao mesmo tempo que, acima de tudo, que preserva direitos fundamentais dos cidadãos no que se refere a eventuais violações de sua privacidade.
* Julio Cardozo é diretor executivo de riscos do Banco Cooperativo Sicredi