Inácio Alencastro e
Lilian Pelliccione
A Lei Geral de Proteção de Dados
Pessoais – LGPD, Lei nº 13.709/2018, completará 5 anos em agosto e, mesmo
assim, muitas corporações ainda não atentaram para a necessidade de adequação.
Os motivos apontados pelos gestores são basicamente o custo envolvido processo
e o temor de que a lei “não pegue”. O fato é que a LGPD é uma realidade para as
empresas de diferentes tamanhos e ramos de atuação pois, todas elas, em alguma
medida, precisarão estar conforme às regras postas. O motivo não é só o risco
de aplicação das duras penalidades impostas pelo descumprimento à lei de
proteção de dados em nosso país, mas também o reputacional com o ostracismo e
cancelamento que podem vir a ser impostos pelos consumidores a empresas taxadas
como descumpridoras das normas.
Tudo porque a LGPD tem um forte
viés de proteção ao consumidor e como tal concede inúmeros poderes ao titular
dos dados e possui diversos legitimados capazes de atuar na fiscalização de seu
cumprimento como Procon, Ministério Público e Autoridade Nacional de Proteção
de Dados Pessoais (ANPD), sem contar o próprio cidadão. Além disso, em tempos
de comunicação rápida e notícias curtas e menos analíticas uma simples nota
falando de um vazamento de dados pessoais de clientes pode colocar abaixo valorosos
esforços para consolidação de marcas e posicionamento de mercado. Portanto,
muito mais do que pelo medo das multas, as empresas devem atentar para as
exigências da LGPD com o objetivo de atender as demandas de mercado e garantir
sua perenidade.
O processo de adequação à lei é
contínuo e precisa ser feito com auxílio de uma equipe multidisciplinar pois
está baseado em três pilares: o jurídico, o tecnológico e o de governança.
Significa dizer que é preciso atuar nas três frentes, ou seja, não basta
investir em sistemas seguros e deixar o restante descoberto. Será fundamental
pensar em alçadas de acesso, revisar e aditivar contratos, treinar as pessoas e
modificar políticas e procedimentos, entre tantas outras medidas. Além disso,
não basta fazer uma vez e está pronto. É necessário revisitar tudo de tempos em
tempos pois as tecnologias, sistemas, pessoas e circunstâncias mudam a todo
tempo. A própria LGPD ainda carece de regulamentação em diversos artigos e,
portanto, prazos e entendimentos podem sofrer alterações, o que muda a regra do
jogo e tudo o que foi construído ao redor dela.
Esse cuidado constante com a
proteção de dados dentro das empresas soa como música aos ouvidos de quem
trabalha com compliance, ou seja, adequação
às normas. Isso porque em qualquer tipo de conformidade (seja trabalhista,
tributária, de dados ou ambiental) é preciso a todo momento demonstrar o
comprometimento da alta administração, mapear os riscos envolvidos em cada
operação, criar e atualizar políticas e procedimentos, treinar e comunicar as
mudanças, além de monitorar e melhorar os processos. Não há modelo correto ou
estanque. Cada empresa é única e todos os processos e pessoas são importantes.
Nesse sentido vale destaque ao
correto e preciso mapeamento de riscos pois, em busca da conformidade, ele é
etapa imprescindível. Para que os riscos sejam conhecidos (mapeados) há muitos
caminhos que podem ser adotados. Na proteção de dados não faltam ferramentas que
prometem agilizar o processo mas nada supera a entrevista pessoal com aqueles
que participam do dia a dia da empresa e colocam a mão na massa para que ela
exista e funcione. Nesse momento o olhar atento de quem está acostumado a
enxergar tratamento de dados pessoais ao de quem conhece os processos daquele
setor da empresa passam a se somar. Esse bate papo com perguntas chave
possibilita que sejam elaborados os chamados mapas de calor setoriais que
demonstram visualmente os pontos de melhoria e os mais críticos sob a ótica da
proteção de dados. O departamento pessoal de uma empresa não é igual ao de
outra, mesmo que elas sejam do mesmo ramo. Existem processos comuns mas também
há particularidades que não podem ser ignoradas, como se há ou não política de
descarte de currículos após um processo seletivo, por exemplo. A partir daí é
possível para a alta administração decidir as prioridades a serem trabalhadas
como forma de minimizar os riscos existentes e transformá-los em pontos
positivos e fortes. É preciso ressalvar que alguns riscos sempre irão existir
pois são inerentes à atuação das empresas. Uma clínica de estética, por
exemplo, precisa dos dados de seus pacientes para atuar, marcar e confirmar
consultas, realizar cobranças e emitir notas fiscais. Precisa também de dados
de saúde para respaldar os procedimentos realizados. As informações, no
entanto, podem e devem ser disponibilizadas na medida da necessidade aos atores
que precisam delas para executar as tarefas. Exemplo: a recepcionista e o departamento
financeiro não precisam acessar dados de saúde de um paciente. Já o
profissional que vai executar o tratamento não necessita do endereço ou número
de telefone e assim por diante.
É um erro achar que uma empresa
consegue existir e atuar com risco zero. Muito pelo contrário! O risco faz
parte da atividade empresarial, seja no tratamento de dados pessoais seja em
sua existência. Sempre haverá a possibilidade de uma ação trabalhista, da
inadimplência de um cliente ou fornecedor, de um vazamento de dados ou de uma
mudança de política fiscal que poderá impactar a vida financeira da empresa.
Até mesmo a necessidade de mudar completamente de rota ou produto. Por isso, o
importante não é zerar o risco e sim conhecê-lo e mantê-lo sob constante
vigilância, melhorando processos para evitar que ele se materialize. O mesmo
vale para o tratamento de dados pessoais pois não há como uma empresa existir
sem tratar dados pessoais, seja de clientes, seja de funcionários. O importante
é conhecer os gargalos e atuar para que eles sejam superados. Aos olhos da LGPD
vale muito a demonstração de boa fé, de que se fez o possível para evitar
vazamentos e que, quando eles venham a ocorrer, a empresa tenha uma postura
transparente e com vistas a aprender com os erros.
Durante o mapeamento de riscos,
que representa um verdadeiro raio-x da organização, é possível identificar os
dados que são coletados em cada departamento e processo, e, assim, cumprir
outra etapa importante da adequação: o relatório de atividades de tratamento. Ele
demonstra de forma inequívoca o caminho das informações, quando e onde são
coletadas, por onde passam e onde e quando “morrem”, ou seja, são descartadas
ou anonimizadas. Conhecer a organização permite mapear quais processos podem
ser melhorados, quais treinamentos precisam ser feitos e quais políticas estão
faltando ou não foram devidamente exploradas. Além disso, é surpreendente o
número de informações desnecessárias que, por uma questão de hábito, são
coletadas e passam a representar um risco potencial às corporações. Exemplo:
para que perguntar numa ficha de cadastro qual a cor da pele de um cliente? Se
isso não impacta a prestação de serviços, a empresa não deve armazenar essa
informação.
Após a detecção dos riscos é
preciso apontar sugestões mitigatórias, mudar políticas e procedimentos e
treinar as equipes. Nada funciona apenas no papel. É preciso conscientizar os
departamentos da necessidade de rever e mudar comportamentos. O que antes era
feito de modo corriqueiro não necessariamente pode persistir na rotina. Nesse
sentido os treinamentos também devem ser setoriais pois devem entrar nas
minúcias dos processos de cada departamento e de nada adiantam treinamentos
online do tipo “one fits all”, ou seja, um serve para todos. É preciso falar a
linguagem de cada setor.
Ressalta-se ainda que muitas
consultorias de adequação erram ao ignorar ou não dar a devida atenção ao
terceiro. Sim! O fornecedor e o prestador de serviços podem tragar uma empresa
totalmente conforme com a LGPD para problemas desde que não estejam adequados e
possibilitem o vazamento de informações pessoais. Nessa hora não adianta o fio
do bigode. É preciso verificar por meio de questionários e diligências qual a
maturidade do parceiro quanto à proteção de dados pois, aos olhos da lei, todos
da cadeia são responsáveis por eventuais vazamentos. Muitas vezes será preciso
até garantir o treinamento dos terceiros para que eles se sensibilizem quanto à
importância do tema. Rever e modificar contratos prevendo responsabilidades e atenção
à proteção dos dados é fundamental, bem como estabelecer prazos e canais
próprios para as comunicações. Associar o nome da empresa a corporações conhecidas
pela desconformidade pode ser um grande erro. É preciso cautela e
responsabilidade na hora de escolher.
A segurança das informações
também merece toda a atenção pois de nada adianta mexer em contratos e não
investir na proteção de documentos físicos e digitais, criando acessos
compatíveis com a necessidade e adequação das tarefas desempenhadas. Sim!
Documentos físicos são alvo da LGPD pois trazem consigo informações pessoais e
requerem cuidado.
Por último, mas não menos
importante, vale a máxima: não basta estar adequado, é preciso demonstrar que
os programas de privacidade existem e funcionam. Por isso, conhecer a
organização, saber quais dados ela coleta, onde estão armazenados, quem tem
acesso e muito mais passa a ser condição para que se responda em tempo hábil
qualquer provocação que seja feita por titular ou autoridade fiscalizadora. Um
bom Data Protection Officer (DPO) ou
Encarregado de Dados tem tudo documentado e à mão para demonstrar a eficácia da
proteção de informações dentro da empresa. Lembre-se que o papel aceita tudo
mas apenas uma pergunta bem feita a quem deve zelar pelos dados pessoais pode
demonstrar que um programa de privacidade é de fachada. É impossível ir do zero
ao cem em alguns poucos meses. Em compliance
e em proteção de dados a palavra maturidade é estratégica. Assim como na vida
ela se alcança com o tempo. Aos poucos todos na empresa se tornam guardiães das
informações e passam a ter o olhar atento ao tema, gerando tranquilidade e
trazendo mais eficiência para o dia a dia, permitindo levar novamente o foco
para geração de valor e de lucro.