Em Agosto de 2018, foi sancionada pelo Presidente da República, Michel Temer, a nova Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709), cuja vigência passará a gerar efeitos a partir de Agosto de 2020, mas que já está mobilizando o mercado, seja pelos inúmeros desafios e incertezas, bem como pelas OPORTUNIDADES que a Lei trará.

Este marco regulatório vem jogar mais luz sobre um tema de suma importância para tempos de Nova Economia e de Revolução 4.0. É um reflexo das muitas transformações sociais, econômicas e culturais decorrentes de inúmeras inovações tecnológicas e mudanças comportamentais importantes, as quais exigiam uma urgente atualização regulatória.

A LGPD veio surfando na onda da mudança no marco regulatório ocorrida na União Europeia, cuja lei geral de proteção de dados (GDPR, na sigla em inglês), entrou em vigor em Maio do último ano, após um período de adaptação e espera para efetiva vigência de 2 anos, gerando consequências importantes no setor de proteção e segurança de dados e impactando fortemente várias indústrias e agentes da economia real e virtual tanto dentro quanto fora da Europa.

O tema não é nenhuma novidade, especialmente no Velho Continente, onde essa questão é debatida e regulada desde a década de 80. No Brasil, no entanto, assim como em tantos outros setores e assuntos, o atraso era evidente.

Em que pese ser uma questão de suma importância e de tamanho impacto na vida de qualquer um de nós, a morosidade com a qual as autoridades e a sociedade civil brasileiras trataram desse assunto nos colocaram na rabeira dos países em conformidade e aderentes às melhores práticas em questões de proteção de dados (salvo raras exceções setoriais, como o setor bancário, onde as instituições brasileiras são, inclusive, referência e benchmark de segurança e proteção digital).

Tanto lá como cá, houve a necessidade de uma consolidação dos fenômenos sociais, consubstanciadas por uma série de fatos observados no cotidiano, a fim de que se pudesse construir uma norma que refletisse os conceitos e princípios mínimos e básicos de proteção de dados pessoais, a fim de se minimizar possíveis vulnerabilidades trazidas por tantas mudanças e em tão pouco tempo.

Como todo processo legislativo, o lapso temporal entre norma e fato nasce em descompasso com a realidade, sobretudo quando falamos de uma sociedade em plena transformação digital, cuja velocidade de evolução, carreada pelos avanços tecnológicos, acabam por acentuar, ainda mais, esse descompasso.

Por essa razão, muitos entendem e defendem a necessidade de a legislação possuir um caráter mais conceitual, a fim de não se ver defasada em curto espaço de tempo.

Diante disso, o setor produtivo, no que concerne à proteção e segurança de dados, se vê obrigado a uma severa adaptação de processos e rotinas, bem como modelos de gestão, a fim de que possa se enquadrar no novo arcabouço legal e, assim, mitigar possíveis riscos de infrações e não-conformidades nesse campo.

Apesar da nossa Lei seguir quase que literalmente as regras contidas no regulamento europeu – porém de forma bem mais genérica – haverá necessidade de um aprofundamento regulatório e diretivo, a fim de que se norteie o tema de forma mais precisa e adequada à realidade enfrentada em terras brasileiras e que se possa guiar os seus atores à adoção de programas de melhores práticas em segurança e proteção de dados.

Um dos pontos mais sensíveis da referida Lei foi superado em 28.12.2018, ao apagar das luzes do ano passado e da gestão anterior, com a publicação da Medida Provisória 869/18, alterando a LGPD em alguns pontos e, sobretudo, criando a Autoridade Nacional de Proteção de Dados, cuja criação havia sido vetada no texto original sob a justificativa de ‘vício de iniciativa’.

Com a criação da Autoridade (ainda que alguns pontos sejam discutíveis, como a sua vinculação à Presidência da República, o que pode gerar questionamentos quanto à sua independência operacional), evita-se que a regulamentação da proteção de dados fique órfã e manca, além de se conferir maior segurança jurídica aos avanços legislativos e regulatórios até aqui alcançados.

Nessa esteira, do ponto de vista prático, vem a questão do prazo de adequação à nova legislação pelos chamados Agentes de Tratamento, basicamente todos aqueles que coletam e tratam dados pessoais, direta ou indiretamente, com fins e mediante práticas comerciais.

A LGPD estabeleceu um prazo de 18 meses (ampliado para 24 meses pela Medida Provisória 869/18), contados da sua sanção, para que a lei entre em vigor e, portanto, passe a produzir os seus regulares efeitos. Ou seja, para que qualquer Agente esteja em conformidade com as regras previstas e, assim, preparado e apto nas questões de segurança da informação e proteção de dados pessoais.

Falta quase 1,5 ano para a entrada em vigor da nova lei e geração de seus possíveis efeitos. Apesar de parecer um prazo razoável de adaptação (considerando alguns outros marcos regulatórios e seus prazos de adequação impostos por lei), diante da magnitude dos programas que deverão ser desenhados e implementados, dependendo do volume de dados que serão tratados e da maturidade de gestão de cada Agente no tratamento desses dados, pode ser que não haja tempo (e orçamento) hábil para que essa adaptação seja realizada de modo a atender todos os requisitos exigidos por lei até a sua entrada em vigor.

Ao contrário do que muitos podem estar imaginando, as ações que envolverão uma adequação de programas de segurança e proteção de dados irão muito além da mera revisão de Políticas de Privacidade e Termos de Uso, ou algumas outras cláusulas contratuais.

Os programas deverão ter uma natureza multidisciplinar, envolvendo diversos setores e departamentos das empresas, seja de qual porte for, a fim de que tenham solidez e consistência, atendendo aos requisitos mínimos exigidos por Lei e qualquer outro que possa vir a ser demandado pelas autoridades competentes.

Não dá para pensar em um programa de Compliance e Governança na área de proteção de dados e segurança da informação sem a adoção de ações estruturadas e planejadas, de forma que gerem, por etapas:

(i) Diagnósticos claros, precisos e detalhados quanto aos dados coletados e tratados;
(ii) Mapeamento e avaliação dos riscos diretos e indiretos inerentes à coleta e tratamento de dados;
(iii) Identificação de possíveis vulnerabilidades (gaps) nos processos e rotinas;
(iv) Adequação de políticas e documentação relacionada;
(v) Desenho e implementação de ações de mitigação de risco e soluções dos gaps identificados;
(vi) Testes de confiabilidade e eficácia do programa de proteção; e
(vii) Monitoramento e aprimoramento constante das boas prática e rotinas do Programa de Data Privacy.

Os players que compreenderem essa necessidade e os inevitáveis impactos que a nova legislação trará aos seus modelos de negócio, bem como aqueles que se anteciparem na estruturação de programas de segurança confiáveis e eficazes, estarão menos vulneráveis a possíveis intempéries relacionadas à atividade de coleta, tratamento e proteção de dados.

Como consequências positivas, entre outras, terão:

(a) Incremento e apuração contínua dos seus modelos de gestão;
(b) Maior segurança operacional e jurídica na execução das suas atividades;
(c) Ganhos competitivos em relação ao mercado e concorrentes, inclusive no que concerne à possibilidade de recebimento de investimentos nacionais e estrangeiros;
(d) Mapeamento e mitigação de riscos de forma clara e transparente;
(e) Atenuantes em caso de falhas ou infrações identificadas; e
(f) Redução de custos e prejuízos em casos de uma boa gestão e execução operacional.

Haverá, também, uma profunda e necessária mudança cultural corporativa, exigindo uma maior adequação ética e principiológica, alinhada ao aprimoramento dos processos e rotinas em conformidade às melhores práticas de mercado, mediante educação, treinamento e engajamento de colaboradores e fornecedores, além da conscientização de todos os stakeholders e da própria comunidade que será impactada por tais mudanças.

Estar em conformidade com a LGPD não é uma questão de opção, mas de tempo e necessidade. Você está preparado?