Ao entrar em vigor na última sexta-feira (18), a Lei Geral de Proteção de Dados, LGPD, se impõe, ainda que sem ter sido constituída a ANPD – Autoridade Nacional de Proteção de Dados, o órgão regulador e fiscalizador. Isso significa que cada organização já precisa interpretar essa nova legislação com base nos 10 princípios que a norteiam. E levando em conta que, mesmo que a aplicação de multas só passe acontecer em maio de 2021, os eventuais vazamentos das informações pessoais dos indivíduos permanecem sujeitos a muitas outras penalidades. Além de sistemas adequados, a governança joga papel de alta relevância no cumprimento dessa nova legislação, pressupondo também muito treinamento especializado aos colaboradores. Essas são algumas das explicações fornecidas, hoje (21), sobre o tema, por Vanessa Butalla, Data Protection Officer e diretora jurídica da Serasa Experian, na 125ª live da série de entrevistas dos portais ClienteSA e Callcenter.inf.br.
Comentando a boa oportunidade da live, em função da entrada em vigor da lei, há apenas quatro dias, Vanessa explicou que ela havia sido aprovada em agosto de 2018, estabelecendo-se o prazo de dois anos para que as empresas se adaptassem. Nesse ínterim, levado pelas circunstâncias da pandemia, o governo federal editou uma MP com várias medidas, entre as quais, a prorrogação daquele prazo. Entretanto, como não houve aprovação no Senado, a publicação da lei teve mesmo de acontecer e passou a vigorar em 19 de setembro último.
Diante disso, a questão colocada foi se as organizações brasileiras realmente já se adequaram à nova legislação. A executiva contou, então, que há cerca de cinco meses, por meio de um instituto de pesquisas, a Serasa entrevistou mais de 500 empresas em 22 segmentos diferentes. “Naturalmente, o nível de empresas que se diziam já preparadas naquele momento é menor entre as micro e pequenas, registrando-se entre 40% e 50% delas. Indicador que se eleva para 86% entre as de médio e grandes portes, principalmente as que se utilizam de tecnologias financeiras. Dessa forma, há a expectativa de um patamar representativo de organizações em condições de aplicar a nova lei.” Segundo a executiva, é preciso se considerar também que, por se tratar da primeira lei organizada e de abrangência generalizada, levará algum tempo até que aconteça uma adaptação e um aculturamento mais profundos no mercado como um todo. Algo que tende a evoluir ao longo dos anos.
Nesse sentido, a diretora jurídica fez questão de ressaltar duas informações que taxou como muito importantes: a primeira é que a LGPD vale para todo e qualquer tipo de empresa. Em segundo lugar, quando a Autoridade Nacional de Proteção de Dados (ANPD), já criada, mas ainda não constituída pelo governo, vai poder estabelecer, a partir do seu funcionamento, regras diferenciadas para micro e pequenas empresas, assim como para startups. “Essa legislação abrange todas as organizações que lidam com dados pessoais, sejam de clientes ou não. E, também, tudo o que se possa imaginar em relação ao tratamento dos dados, o que inclui coleta, armazenamento, disponibilidade, etc.”
Falando especificamente sobre a ANPD, cujo conselho diretivo ainda será constituído e sabatinado pelo congresso, Vanessa registrou que a mesma terá duas principais funções: a de orientação, estabelecendo um diálogo com as empresas e adicionando regulamentações, e fiscalizar, seja de forma reativa ou proativa. Muito importante, no seu entendimento, é que esse futuro conselho diretivo seja formado por membros que tenham formação sólida no âmbito da proteção dos dados e da privacidade dos indivíduos. “E, também, pessoas com disponibilidade para aprender sobre todo esse processo dentro dos pontos específicos de cada empresa. Um papel inicial muito mais orientador do que punitivo, Precisamos de uma autoridade que venha para dar mais efetividade para a lei. O modelo ideal é esse, mas não sabemos como será de verdade.”
Quanto à eventualidade de um vazamento de informações pessoais constatado daqui em diante, a executiva disse que, em linhas gerais – e se o fato representou riscos relevantes para o titular ou titulares dos mesmos -, a autoridade deverá ser comunicada a respeito. As explicações envolverão o porquê desse problema e quem foi impactado. Também, que providências preventivas haviam sido tomadas antes e quais foram assumidas, depois, no sentido de mitigar os danos. “Sabemos que não existem sistemas 100% perfeitos para proteger os dados, mesmo porque as tecnologias mudam e os hackers também vão se adequando. Dessa forma, não é só a tecnologia, mas também os sistemas de governança se tornam muito importantes.” Se a empresa adotou as melhores práticas possíveis no tratamento e proteção dos dados, dentro de seu segmento e porte, mas, ainda assim, aconteceu um vazamento, Vanessa entende que isso tem que ser ponderado pela autoridade.
A DPO frisou que o prazo para adequação da lei expirou a partir do momento em que a mesma entrou em vigor. E essa realidade alcança todo tipo de atividade que vise fins comerciais, devendo se procurar o equilíbrio entre o legítimo interesse do empreendedor em prosperar sua atividade e o das pessoas físicas que precisam ter sua privacidade e vontade preservadas. O que alcança, também, o envio e recebimento de mensagens indesejadas. Ela lembrou que, embora a ANPD só possa aplicar penalidades a partir de maio do próximo ano, o prazo para adequação já expirou a partir do momento em que ela foi publicada. “Trata-se de uma lei que cuida não do como fazer as coisas, mas sim do que tem de ser realizado. Ou seja, temos de obedecer a uma estrutura macro composta de 10 princípios gerais sobre tratamento e proteção de dados, mas de forma interpretativa. Não existe uma resposta que serve para todas as organizações.”
Ainda na concepção da diretora da Serasa Experian, a LGPD é favorável às inovações no sentido em que clareia as regras de segurança da informação. Permite que o desenvolvimento não aconteça de qualquer forma, mas sim em um ambiente de mais equilíbrio e proteção dos dados. Ao finalizar o bate-papo, respondendo a uma das questões sobre o tratamento dos dados de forma individual dentro de cada organização, que ela chamou de segregação dos acessos, a executiva reforçou o fato de os sistemas de governança serem tão relevantes quanto os de tecnologias, porque, no final das contas, tudo isso envolve pessoas. “O ser humano precisa ser tão cuidadoso quanto os sistemas. Para ajudar nisso, é necessário se criar políticas de tratamento de dados selecionar adequadamente quem precisa mesmo ter acesso aos mesmos.” E chamou a atenção para os três fatores preponderantes para nortear o treinamento das equipes em relação à LGPD: princípios que regem o tratamento dos dados, bases legais e direitos dos titulares.
O vídeo com a entrevista, na íntegra, está disponível em nosso canal no Youtube. Aproveite para também se inscrever e ficar por dentro das próximas lives. Amanhã (22), a série de entrevistas receberá Lucas Ceschin, CEO da James Delivery, para falar sobre os avanços do GPA nos serviços de entregas; na quarta, será a vez Roger Corassa, diretor de desenvolvimento da rede do Grupo FCA para América Latina da Fiat; na quinta, Claudia Gimenez, country manager da Concentrix; e, no “Sextou?”, o debate sobre assédio reunirá Guilherme Jahara, sócio-fundador e diretor criativo do estúdio DarkKitchen, Joice Cristina, gestora executiva de relacionamento com clientes da MRV e Pâmela Vaiano, diretora de comunicação da 99.
