Falta de definição sobre a autoridade nacional e as funções do DPO, ou ainda possibilidade de adiamento da multa, são desculpas que podem custar caro à credibilidade da empresa

Por Fabio Ferreira

“O segredo da mudança é o foco não na luta contra o velho, mas na construção do novo”

Sócrates

Estamos a menos de um ano da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020. Justamente quando as empresas deveriam acelerar seus projetos de adequação, muitas estão em compasso de espera, adiando a mudança e, juntamente com ela, a transformação dos negócios.

Parte desse comportamento se deve ao fato de que ainda há temas indefinidos, como a composição da Autoridade Nacional de Proteção de Dados (ANPD) e a posição de Data Protection Officer (DPO), e de quais empresas serão obrigadas a contratar esse profissional. Mas há outro aspecto que chama a atenção: alguns gestores estão de olho na possível aprovação de um projeto de lei que adia em dois anos a aplicação das multas – que podem comprometer até 2% do faturamento da empresa em seu último exercício fiscal, com teto de R$ 50 milhões.

Vale refletir sobre essa paralisia. O primeiro ponto é que, mesmo que não haja multa nesse primeiro momento, a responsabilidade pela proteção dos dados ganha destaque crescente no mercado brasileiro, impulsionada pela preocupação com a segurança da informação em todo o mundo. Nesse sentido, a obrigatoriedade de tornar público o possível vazamento não será excluída caso o projeto de lei para postergar as penalidades seja aprovado, o que pode comprometer, e muito, a credibilidade da marca. 

Há ainda aspectos como a necessidade de apresentação de um relatório de impacto à autoridade nacional, que deve ser levado em consideração. Afinal, esse ponto também será real a partir da validade da LGPD. Portanto, não dá para cruzar os braços quanto a essas questões.

Já sobre os pontos de dúvidas na legislação, é possível executar o projeto de adequação independentemente dessas definições. Há aspectos de estruturação inerentes à proteção de dados que as empresas não podem mais varrer para debaixo do tapete – sob o risco de incorrer em dificuldades e demoras nas ações relacionadas à segurança da informação, que são complexas demais para ignorar no cenário atual.

O aspecto crucial nesse momento é fornecer a transparência necessária para que o titular saiba qual a finalidade e o uso de seus dados pessoais. Essa clareza e transparência no uso da informação e na comunicação exige a adequação de sistemas, possibilitando, por exemplo, a exclusão das informações (se cabível) quando solicitado pelo titular, prevista em lei. 

Mas é preciso ir além e promover a revisão de todos os mecanismos de segurança da informação que envolvam dados pessoais, garantindo a rastreabilidade no caso de vazamentos e incidentes. Esse cuidado, inclusive, será levado em consideração pela ANPD em caso de ocorrências e pode diminuir as penalidades para a empresa que comprovar que tem governança e políticas claras para atender a proteção exigida pela LGPD.

A revisão jurídica de contratos com colaboradores, políticas de privacidade e segurança da informação, contratos com prestadores de serviço e eventualmente até com o próprio titular dos dados também é fundamental, minimamente para garantir o entendimento e a conscientização sobre os direitos dos titulares de dados. Não é recomendado adiá-las sob o risco de não haver tempo para que todas as necessidades jurídicas e técnicas sejam esclarecidas.

A LGPD reforça o uso das melhores práticas de segurança da informação. São aspectos tratados há anos pela gestão de TI, mas que agora adquirem uma urgência que tornam obrigatórios investimentos antes considerados altos. E quem não os fizer incorrerá em riscos que podem comprometer o futuro dos negócios.

O DPO

Por si só, a exigência do encarregado, ou DPO, como o mercado já convencionou chamar, cria mais dúvidas que certezas. O texto da LGPD não é claro sobre o porte das empresas que deverão obrigatoriamente contratar um DPO. 

Mas é fato que todos os tipos e portes de negócios deverão promover o contato com os titulares dos dados pessoais que utilizam, de forma a que eles possam demandar o cumprimento de seus direitos. Ainda que não se contrate alguém com o nível de senioridade de um DPO, será preciso definir um departamento, uma equipe ou um colaborador, que seja, responsável por fazer a ponte entre autoridade nacional, titular dos dados e a empresa (controlador). 

São muitas as demandas e o tempo é curto. Não é hora, portanto, de adiar ainda mais a adequação.

Leia mais:

Entenda 3 pontos sensíveis da adequação à LGPD no varejo

DPO: quem será o encarregado pela LGPD nas empresas?