LGPD: por que você não pode mais esperar para se adaptar

Falta de definição sobre a autoridade nacional e as funções do DPO, ou ainda possibilidade de adiamento da multa, são desculpas que podem custar caro à credibilidade da empresa

Por Fabio Ferreira

“O segredo da mudança é o foco não na luta contra o velho, mas na construção do novo”

Sócrates

Estamos a menos de um ano da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020. Justamente quando as empresas deveriam acelerar seus projetos de adequação, muitas estão em compasso de espera, adiando a mudança e, juntamente com ela, a transformação dos negócios.

Parte desse comportamento se deve ao fato de que ainda há temas indefinidos, como a composição da Autoridade Nacional de Proteção de Dados (ANPD) e a posição de Data Protection Officer (DPO), e de quais empresas serão obrigadas a contratar esse profissional. Mas há outro aspecto que chama a atenção: alguns gestores estão de olho na possível aprovação de um projeto de lei que adia em dois anos a aplicação das multas – que podem comprometer até 2% do faturamento da empresa em seu último exercício fiscal, com teto de R$ 50 milhões.

Vale refletir sobre essa paralisia. O primeiro ponto é que, mesmo que não haja multa nesse primeiro momento, a responsabilidade pela proteção dos dados ganha destaque crescente no mercado brasileiro, impulsionada pela preocupação com a segurança da informação em todo o mundo. Nesse sentido, a obrigatoriedade de tornar público o possível vazamento não será excluída caso o projeto de lei para postergar as penalidades seja aprovado, o que pode comprometer, e muito, a credibilidade da marca. 

Há ainda aspectos como a necessidade de apresentação de um relatório de impacto à autoridade nacional, que deve ser levado em consideração. Afinal, esse ponto também será real a partir da validade da LGPD. Portanto, não dá para cruzar os braços quanto a essas questões.

Já sobre os pontos de dúvidas na legislação, é possível executar o projeto de adequação independentemente dessas definições. Há aspectos de estruturação inerentes à proteção de dados que as empresas não podem mais varrer para debaixo do tapete – sob o risco de incorrer em dificuldades e demoras nas ações relacionadas à segurança da informação, que são complexas demais para ignorar no cenário atual.

O aspecto crucial nesse momento é fornecer a transparência necessária para que o titular saiba qual a finalidade e o uso de seus dados pessoais. Essa clareza e transparência no uso da informação e na comunicação exige a adequação de sistemas, possibilitando, por exemplo, a exclusão das informações (se cabível) quando solicitado pelo titular, prevista em lei. 

Mas é preciso ir além e promover a revisão de todos os mecanismos de segurança da informação que envolvam dados pessoais, garantindo a rastreabilidade no caso de vazamentos e incidentes. Esse cuidado, inclusive, será levado em consideração pela ANPD em caso de ocorrências e pode diminuir as penalidades para a empresa que comprovar que tem governança e políticas claras para atender a proteção exigida pela LGPD.

A revisão jurídica de contratos com colaboradores, políticas de privacidade e segurança da informação, contratos com prestadores de serviço e eventualmente até com o próprio titular dos dados também é fundamental, minimamente para garantir o entendimento e a conscientização sobre os direitos dos titulares de dados. Não é recomendado adiá-las sob o risco de não haver tempo para que todas as necessidades jurídicas e técnicas sejam esclarecidas.

A LGPD reforça o uso das melhores práticas de segurança da informação. São aspectos tratados há anos pela gestão de TI, mas que agora adquirem uma urgência que tornam obrigatórios investimentos antes considerados altos. E quem não os fizer incorrerá em riscos que podem comprometer o futuro dos negócios.

O DPO

Por si só, a exigência do encarregado, ou DPO, como o mercado já convencionou chamar, cria mais dúvidas que certezas. O texto da LGPD não é claro sobre o porte das empresas que deverão obrigatoriamente contratar um DPO. 

Mas é fato que todos os tipos e portes de negócios deverão promover o contato com os titulares dos dados pessoais que utilizam, de forma a que eles possam demandar o cumprimento de seus direitos. Ainda que não se contrate alguém com o nível de senioridade de um DPO, será preciso definir um departamento, uma equipe ou um colaborador, que seja, responsável por fazer a ponte entre autoridade nacional, titular dos dados e a empresa (controlador). 

São muitas as demandas e o tempo é curto. Não é hora, portanto, de adiar ainda mais a adequação.

Leia mais:

Entenda 3 pontos sensíveis da adequação à LGPD no varejo

DPO: quem será o encarregado pela LGPD nas empresas?

artigo assinado por

Fabio Ferreira

CTO e sócio-consultor
Expert em infraestrutura tecnológica e sistemas. Tem 20 anos de experiência na indústria de tecnologia da informação e de serviços.
Veja mais artigos do consultor
compartilhe este artigo
Redes sociais Lozinsky Redes sociais Lozinsky

Qual o seu problema
de negócio complexo?

Conheça os desafios que motivam a transformação do seu negócio. E saiba como resolve-los,
nossos cases
Outros artigos
Estratégia e gestão de TI
https://lozinskyconsultoria.com.br/wp-content/uploads/2023/01/sergio.png

Todas as lideranças precisam de KPIs – por que o board não?

Se os conselheiros não estão sujeitos a indicadores, como saber se as decisões que estão apoiando...

Leia o artigo
Estratégia e gestão de TI
https://lozinskyconsultoria.com.br/wp-content/uploads/2023/01/ricardo.png

Qual vai ser o próximo grande desafio da TI?

Periodicamente, os líderes de tecnologia se veem pressionados para correr atrás do hype do moment...

Leia o artigo
Estratégia e gestão de TI
https://lozinskyconsultoria.com.br/wp-content/uploads/2023/01/aldir.png

Círculo virtuoso dos negócios: se existe um Santo Graal corporativo, onde ele habita?

É fato que empresas buscam resultados financeiros. Mas também é verdade que finanças, operações e...

Leia o artigo
mais artigos