Adequação à LGPD e os desafios para as empresas

Inácio Alencastro e Lilian Pelliccione

A Lei Geral de Proteção de Dados Pessoais – LGPD, Lei nº 13.709/2018, completará 5 anos em agosto e, mesmo assim, muitas corporações ainda não atentaram para a necessidade de adequação. Os motivos apontados pelos gestores são basicamente o custo envolvido processo e o temor de que a lei “não pegue”. O fato é que a LGPD é uma realidade para as empresas de diferentes tamanhos e ramos de atuação pois, todas elas, em alguma medida, precisarão estar conforme às regras postas. O motivo não é só o risco de aplicação das duras penalidades impostas pelo descumprimento à lei de proteção de dados em nosso país, mas também o reputacional com o ostracismo e cancelamento que podem vir a ser impostos pelos consumidores a empresas taxadas como descumpridoras das normas.

Tudo porque a LGPD tem um forte viés de proteção ao consumidor e como tal concede inúmeros poderes ao titular dos dados e possui diversos legitimados capazes de atuar na fiscalização de seu cumprimento como Procon, Ministério Público e Autoridade Nacional de Proteção de Dados Pessoais (ANPD), sem contar o próprio cidadão. Além disso, em tempos de comunicação rápida e notícias curtas e menos analíticas uma simples nota falando de um vazamento de dados pessoais de clientes pode colocar abaixo valorosos esforços para consolidação de marcas e posicionamento de mercado. Portanto, muito mais do que pelo medo das multas, as empresas devem atentar para as exigências da LGPD com o objetivo de atender as demandas de mercado e garantir sua perenidade.

O processo de adequação à lei é contínuo e precisa ser feito com auxílio de uma equipe multidisciplinar pois está baseado em três pilares: o jurídico, o tecnológico e o de governança. Significa dizer que é preciso atuar nas três frentes, ou seja, não basta investir em sistemas seguros e deixar o restante descoberto. Será fundamental pensar em alçadas de acesso, revisar e aditivar contratos, treinar as pessoas e modificar políticas e procedimentos, entre tantas outras medidas. Além disso, não basta fazer uma vez e está pronto. É necessário revisitar tudo de tempos em tempos pois as tecnologias, sistemas, pessoas e circunstâncias mudam a todo tempo. A própria LGPD ainda carece de regulamentação em diversos artigos e, portanto, prazos e entendimentos podem sofrer alterações, o que muda a regra do jogo e tudo o que foi construído ao redor dela.

Esse cuidado constante com a proteção de dados dentro das empresas soa como música aos ouvidos de quem trabalha com compliance, ou seja, adequação às normas. Isso porque em qualquer tipo de conformidade (seja trabalhista, tributária, de dados ou ambiental) é preciso a todo momento demonstrar o comprometimento da alta administração, mapear os riscos envolvidos em cada operação, criar e atualizar políticas e procedimentos, treinar e comunicar as mudanças, além de monitorar e melhorar os processos. Não há modelo correto ou estanque. Cada empresa é única e todos os processos e pessoas são importantes.

Nesse sentido vale destaque ao correto e preciso mapeamento de riscos pois, em busca da conformidade, ele é etapa imprescindível. Para que os riscos sejam conhecidos (mapeados) há muitos caminhos que podem ser adotados. Na proteção de dados não faltam ferramentas que prometem agilizar o processo mas nada supera a entrevista pessoal com aqueles que participam do dia a dia da empresa e colocam a mão na massa para que ela exista e funcione. Nesse momento o olhar atento de quem está acostumado a enxergar tratamento de dados pessoais ao de quem conhece os processos daquele setor da empresa passam a se somar. Esse bate papo com perguntas chave possibilita que sejam elaborados os chamados mapas de calor setoriais que demonstram visualmente os pontos de melhoria e os mais críticos sob a ótica da proteção de dados. O departamento pessoal de uma empresa não é igual ao de outra, mesmo que elas sejam do mesmo ramo. Existem processos comuns mas também há particularidades que não podem ser ignoradas, como se há ou não política de descarte de currículos após um processo seletivo, por exemplo. A partir daí é possível para a alta administração decidir as prioridades a serem trabalhadas como forma de minimizar os riscos existentes e transformá-los em pontos positivos e fortes. É preciso ressalvar que alguns riscos sempre irão existir pois são inerentes à atuação das empresas. Uma clínica de estética, por exemplo, precisa dos dados de seus pacientes para atuar, marcar e confirmar consultas, realizar cobranças e emitir notas fiscais. Precisa também de dados de saúde para respaldar os procedimentos realizados. As informações, no entanto, podem e devem ser disponibilizadas na medida da necessidade aos atores que precisam delas para executar as tarefas. Exemplo: a recepcionista e o departamento financeiro não precisam acessar dados de saúde de um paciente. Já o profissional que vai executar o tratamento não necessita do endereço ou número de telefone e assim por diante.   

É um erro achar que uma empresa consegue existir e atuar com risco zero. Muito pelo contrário! O risco faz parte da atividade empresarial, seja no tratamento de dados pessoais seja em sua existência. Sempre haverá a possibilidade de uma ação trabalhista, da inadimplência de um cliente ou fornecedor, de um vazamento de dados ou de uma mudança de política fiscal que poderá impactar a vida financeira da empresa. Até mesmo a necessidade de mudar completamente de rota ou produto. Por isso, o importante não é zerar o risco e sim conhecê-lo e mantê-lo sob constante vigilância, melhorando processos para evitar que ele se materialize. O mesmo vale para o tratamento de dados pessoais pois não há como uma empresa existir sem tratar dados pessoais, seja de clientes, seja de funcionários. O importante é conhecer os gargalos e atuar para que eles sejam superados. Aos olhos da LGPD vale muito a demonstração de boa fé, de que se fez o possível para evitar vazamentos e que, quando eles venham a ocorrer, a empresa tenha uma postura transparente e com vistas a aprender com os erros.   

Durante o mapeamento de riscos, que representa um verdadeiro raio-x da organização, é possível identificar os dados que são coletados em cada departamento e processo, e, assim, cumprir outra etapa importante da adequação: o relatório de atividades de tratamento. Ele demonstra de forma inequívoca o caminho das informações, quando e onde são coletadas, por onde passam e onde e quando “morrem”, ou seja, são descartadas ou anonimizadas. Conhecer a organização permite mapear quais processos podem ser melhorados, quais treinamentos precisam ser feitos e quais políticas estão faltando ou não foram devidamente exploradas. Além disso, é surpreendente o número de informações desnecessárias que, por uma questão de hábito, são coletadas e passam a representar um risco potencial às corporações. Exemplo: para que perguntar numa ficha de cadastro qual a cor da pele de um cliente? Se isso não impacta a prestação de serviços, a empresa não deve armazenar essa informação.

Após a detecção dos riscos é preciso apontar sugestões mitigatórias, mudar políticas e procedimentos e treinar as equipes. Nada funciona apenas no papel. É preciso conscientizar os departamentos da necessidade de rever e mudar comportamentos. O que antes era feito de modo corriqueiro não necessariamente pode persistir na rotina. Nesse sentido os treinamentos também devem ser setoriais pois devem entrar nas minúcias dos processos de cada departamento e de nada adiantam treinamentos online do tipo “one fits all”, ou seja, um serve para todos. É preciso falar a linguagem de cada setor.

Ressalta-se ainda que muitas consultorias de adequação erram ao ignorar ou não dar a devida atenção ao terceiro. Sim! O fornecedor e o prestador de serviços podem tragar uma empresa totalmente conforme com a LGPD para problemas desde que não estejam adequados e possibilitem o vazamento de informações pessoais. Nessa hora não adianta o fio do bigode. É preciso verificar por meio de questionários e diligências qual a maturidade do parceiro quanto à proteção de dados pois, aos olhos da lei, todos da cadeia são responsáveis por eventuais vazamentos. Muitas vezes será preciso até garantir o treinamento dos terceiros para que eles se sensibilizem quanto à importância do tema. Rever e modificar contratos prevendo responsabilidades e atenção à proteção dos dados é fundamental, bem como estabelecer prazos e canais próprios para as comunicações. Associar o nome da empresa a corporações conhecidas pela desconformidade pode ser um grande erro. É preciso cautela e responsabilidade na hora de escolher.    

A segurança das informações também merece toda a atenção pois de nada adianta mexer em contratos e não investir na proteção de documentos físicos e digitais, criando acessos compatíveis com a necessidade e adequação das tarefas desempenhadas. Sim! Documentos físicos são alvo da LGPD pois trazem consigo informações pessoais e requerem cuidado.

Por último, mas não menos importante, vale a máxima: não basta estar adequado, é preciso demonstrar que os programas de privacidade existem e funcionam. Por isso, conhecer a organização, saber quais dados ela coleta, onde estão armazenados, quem tem acesso e muito mais passa a ser condição para que se responda em tempo hábil qualquer provocação que seja feita por titular ou autoridade fiscalizadora. Um bom Data Protection Officer (DPO) ou Encarregado de Dados tem tudo documentado e à mão para demonstrar a eficácia da proteção de informações dentro da empresa. Lembre-se que o papel aceita tudo mas apenas uma pergunta bem feita a quem deve zelar pelos dados pessoais pode demonstrar que um programa de privacidade é de fachada. É impossível ir do zero ao cem em alguns poucos meses. Em compliance e em proteção de dados a palavra maturidade é estratégica. Assim como na vida ela se alcança com o tempo. Aos poucos todos na empresa se tornam guardiães das informações e passam a ter o olhar atento ao tema, gerando tranquilidade e trazendo mais eficiência para o dia a dia, permitindo levar novamente o foco para geração de valor e de lucro.