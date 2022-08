No início da jornada de adequação à Lei n. 13.709/2018 (Lei Geral de Proteção de Dados ou “LGPD”), um dos maiores desafios foi o de convencer a alta administração das organizações da importância de se promover um amplo trabalho de descoberta e mitigação de riscos de privacidade em razão da nova legislação. A dificuldade sempre foi a de demonstrar valor frente aos custos impostos e à desconfiança de que a LGPD poderia ser apenas “mais uma lei”, sem grandes impactos.

Leia Também O aniversário da LGPD e o seu indigesto presente: as sanções administrativas

Hoje, quase quatro anos depois, há quem duvide da relevância dos trabalhos realizados, principalmente diante do fato de que ainda não houve aplicação de penalidades por parte da Autoridade Nacional de Proteção de Dados. Ressurge, portanto, o coro dos incrédulos, que de boca cheia entoam “eu falei”.

Nesse contexto, quem está certo? Será que há mesmo como justificar os investimentos feitos para adequação à LGPD? A resposta é um ressoante sim!

Não estamos a falar apenas da segurança jurídica de se manter a salvo de penalidades, reclamações ou ações judiciais, do aumento de credibilidade junto ao mercado graças a confiança transmitida pelo uso ético e lícito de dados pessoais ou, ainda, do conforto de se estar minimamente preparado para prevenir e remediar situações de crise desencadeadas por incidentes de segurança, mas sim da possibilidade de alavancar novas ondas de conformidade a partir dos esforços realizados para endereçar o tema privacidade e proteção de dados.

É de se reconhecer que a atividade de compliance significa uma eterna busca para as organizações: quando estas se veem razoavelmente preparadas para uma determinada regulação, logo outra surge, de modo que é preciso estar em constante curva de adaptação. Para tornar menos desgastante essa tarefa é que se defende a necessidade de se antecipar novas demandas regulatórias, preparando-se de antemão. E é aqui que a adequação à LGPD pode render seus melhores frutos.

Ocorre que o trabalho de adequação LGPD esconde um precioso tesouro, ainda pouco explorado pelas organizações. Por força do artigo 37, organizações que passaram por projetos de adequação à LGPD constituíram seus registros de operações de tratamento (popularmente conhecidos no mercado pela sigla ROPA), que nada mais são do que inventários de processos, realizados área a área, que se valem de dados pessoais. O ROPA, inclusive, responde pelo maior número de horas despendidas em tais projetos, pois, como é de se imaginar, resulta de um mapeamento extensivo e complexo, dada a participação de muitos envolvidos.

Porém, longe de se tratar de um mero instrumento estático de conformidade à LGPD, o ROPA pode servir a outros muitos fins. Destaca-se, por exemplo, a possibilidade de uso do ROPA para facilitar a conformidade à futura regulação de inteligência artificial, que está sendo gestada no Congresso, a qual muito provavelmente demandará, direta ou indiretamente, o mapeamento de operações que envolvam o uso de sistemas de inteligência artificial, operações estas que poderão ser descobertas a partir do ROPA, economizando esforços de horas e horas em incursões desorientadas área a área.

Isso vale, também, para os trabalhos voltados para sustentabilidade, que ganharam força sob a nova roupagem de ESG, sigla em inglês que remete à governança ambiental, social e corporativa. Ora, o ROPA contém valiosos insights que podem ser aproveitados para, por exemplo, orientar a análise de processos que geram riscos de discriminação em decorrência do processamento, muitas vezes automatizado, de dados pessoais (em análises de crédito, recrutamento de candidatos, avaliação de performance, entre outros), atividade crucial para fortalecimento do pilar designado pela letra S.

Basta, é claro, que os entregáveis desenvolvidos durante a adequação à LGPD não fiquem engavetados em silos dentro das organizações, como recursos exclusivos das áreas de privacidade ou de outras responsáveis pelo tema, mas sejam amplamente partilhados a quem deles possa precisar, haja vista suas múltiplas utilidades.

Em conclusão, é preciso ir além do senso comum, que se recusa a olhar a longo prazo e descredencia as organizações que apostaram na adequação à LGPD pelo mero fato de ainda não haver volume representativo de condenações e multas aplicadas, para se enxergar que os trabalhos realizados representam apenas um primeiro pilar, sobre o qual muitos outros serão colocados. Para quem fez o dever de casa, é hora de merecidamente colher alguns dos frutos e navegar um pouco mais tranquilamente pelas novas ondas que surgem.

*Luis Fernando Prado é sócio do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados

*Paulo Vidigal é sócio do escritório Prado Vidigal, especializado em Direito Digital, Privacidade e Proteção de Dados