A proteção dos dados pessoais e a corrida contra o relógio

A proteção dos dados pessoais e a corrida contra o relógio

Paulo M. R. Brancher*

31 Julho 2018 | 06h00

Paulo M. R. Brancher. FOTO: DIVULGAÇÃO

Estamos apenas no aguardo da sanção presidencial, que deve ocorrer até o dia 14 de agosto, para que a Lei Geral de Proteção de Dados (LGPD) passe a se tornar realidade no Brasil. Ainda que eventuais vetos estejam em discussão, os principais pontos desse novo marco regulatório não deverão ser afetados. Uma vez sancionada, a LGPD entrará em vigor em um período de dezoito meses. Começa, então, uma contagem regressiva para que as empresas se adequem a seus termos. Parece muito tempo? Longe disso…

A LGPD, em linhas gerais, se apresenta de modo harmonizado com a também recente norma europeia de proteção de dados (General Data Protection Regulation ou, simplesmente, GDPR), que entrou em vigor no dia 25 de maio de 2018. Conceitos previstos nessas normas como “titular dos dados”, “dados pessoais”, “dados sensíveis”, “coleta”, “tratamento”, “consentimento”, “interesse legítimo”, dentre tantos outros, passaram a chamar a atenção das empresas. Estas, por sua vez, se viram em um novo ambiente regulado, inclusive com a presença de uma Autoridade Nacional de Proteção de Dados, que terá por missão fiscalizar o tratamento dos dados, receber notificações de incidentes de vazamento, impor obrigações e até mesmo sanções a empresas que descumprirem com seus termos, variando de uma simples advertência até multas, que podem chegar a 2% do faturamento no Brasil, limitadas a R$ 50 milhões por evento.

A LGPD terá mais de 60 artigos e certamente não cabe, neste espaço, fazer uma análise detalhada de seus principais aspectos. Dois deles, no entanto, merecem atenção neste momento em que o assunto começa a se popularizar. Primeiramente, uma lei de proteção de dados deverá impor, antes de tudo, uma mudança cultural em todos nós, como indivíduos e também nas empresas. O que parecia algo trivial, como a coleta e circulação de dados para diversos fins, passa a sofrer certas restrições, o que limitará a habilidade das empresas continuarem com modelos de negócios sem o devido cuidado com dados pessoais e dados sensíveis.

Como consequência, a partir da LGPD, o consentimento prévio, livre, informado e inequívoco, bem como outras bases legais para o tratamento dos dados, passarão a fazer parte do vocabulário empresarial. Isso provocará uma série de mudanças em políticas, processos internos e sistemas tecnológicos, bem como indicará a necessidade de realizar avaliações dos impactos legais e de construir uma organização que, na sua máxima extensão possível, esteja pronta para enfrentar vazamentos de dados ou demandas judiciais de natureza individual ou coletiva por eventual inconformidade com a lei.

E aqui entra um segundo e interessante aspecto da LGPD. Em maio deste ano, a IBM Institute for Business Value (IBV) publicou uma pesquisa denominada “The end of the beginning – Unleashing the transformational power of GDPR”, entrevistando aproximadamente 1.500 líderes de negócios, em 34 países, de 15 indústrias diferentes. Os resultados não deixaram de ser surpreendentes: 60% das organizações disseram que as normas do GDPR estavam sendo cumpridas como uma oportunidade para melhorar a privacidade, a segurança e o gerenciamento de dados ou catalisador de novos modelos de negócios, em vez de simplesmente um problema ou impedimento de conformidade; 96% acreditavam que a prova de conformidade com o GDPR seria vista como um diferenciador positivo para o público e 76% disseram que o GDPR permitiria relacionamentos mais confiáveis com os titulares de dados, o que criaria novas oportunidades de negócios. No entanto, e isso a poucas semanas da entrada em vigor do GDPR, apenas 36% acreditavam que estariam totalmente em conformidade com a norma até a sua entrada em vigor (o que ocorreu em 25 de maio).

O GDPR estabeleceu um período de 24 meses para que as empresas pudessem adequar seus processos internos, sistemas e realizar as devidas avaliações de riscos e impactos legais. Isso responde à pergunta feita no início deste artigo. O período de 18 meses para que as empresas se adequem à LGPD é muito mais curto do que se pode pressupor e isso impõe a elas uma obrigação urgente de colocar sobre a mesa um plano estratégico de como lidar com essa mudança cultural para o compliance da lei.

Apenas um detalhe que não consta da LGPD, mas que certamente deve fazer parte da agenda empresarial. Independentemente do tipo de sanção aplicável em caso de não observância da lei, o pior risco pode não ser a perda patrimonial imediata ou mesmo a obrigação de indenizar o titular dos dados, mas sim o dano reputacional; este, muitas vezes, acaba se tornando irreparável.

*Paulo M. R. Brancher é sócio do escritório Mattos Filho