Entre tantos assuntos que foram evidência em 2020, a nova Lei Geral de Proteção de Dados Pessoais, ou LGPD, como é mais conhecida, é com certeza um deles. A lei passou a valer em janeiro de 2021, mas os eventuais infratores só começarão a ser punidos em agosto de 2021, e, já podemos ver uma forte atuação da ANPD em relação às informações de pessoas físicas que vazaram após roubo de dados de 223 milhões de CPFs, onde as empresas detentoras desses dados deveriam controlar, guardar e serem responsáveis por tais dados.
Mas a situação que está relacionada ao tema é que muitas empresas estão tendo dificuldades para entender e avaliar os impactos dessa lei na sua organização. Muitas delas não sabem nem por onde começar e muito menos como se preparar.
As bases da Lei Geral de Proteção de Dados baseiam-se na interpretação do direito em relação à privacidade dos dados pessoais, que passa a ser um direito fundamental do cidadão. Tecnicamente são 10 bases legais que devem ser observadas: o consentimento, o cumprimento da obrigação Legal ou Regulatória, a proteção de crédito, a execução de contratos, os interesses legítimos do controlador e/ou de terceiros, a tutela ou saúde, a administração pública, para a execução de políticas públicas, o estudo por órgão de pesquisas, a proteção da vida de titular ou de terceiros e o exercício regular de diretos em processo judicial, administrativo ou arbitral.
A nova Lei Geral de Proteção de Dados Pessoais (LGPD), vem não para garantir, mas para aumentar os direitos dos titulares de dados para ter maior informação sobre a utilização das informações, e adicionalmente explicitar os deveres das empresas para proteção dos dados de funcionários, fornecedores e clientes. De forma muito simples e objetiva, a obrigação para as empresas nada mais é que garantir para os titulares das informações que os dados deles estão seguros, atualizados e não estão sendo usados de forma incorreta.
Hoje muitas pessoas jurídicas podem e solicitam às pessoas físicas, no momento do seu cadastro para compras ou outras finalidades, suas informações pessoais. Pense bem: quantas vezes você já teve que, sem escolha, liberar suas informações para conseguir acessar alguma página na internet ou seguir com algum procedimento burocrático? É, muitas vezes. E a LGPD veio para garantir a privacidade e a utilização dessas informações.
A Lei Geral de Proteção de Dados Pessoais ganhou um aliado no processo de fiscalização, criada a partir da MP 869/18. A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas.
No Brasil, a implementação da LGPD teve início no mês de agosto de 2020. Na Europa, onde a lei europeia de proteção aos dados (GDPR) entrou em vigor em abril de 2016 e se tornou obrigatória a partir de 2018, até hoje existem empresas que estão se adequando. Dessa forma, a expectativa é que a adaptação do Brasil quanto à implantação também seguirá um ritmo lento.
Além do impacto na implantação, a principal lição que podemos extrair da GDPR (repetida pela LGPD) se baseia na necessidade de se instituir uma nova cultura para as organizações, partindo da premissa de que o titular está no controle de seus dados. Adicionalmente, a preocupação com os altos custos que são recorrentes na LGPD, ocorreram também com a GDPR. Empresas europeias se viram obrigadas a ampliar custos com mão de obra especializada em privacidade, tecnologia, serviços jurídicos, certificações e provisionamento de contingências (por exemplo, multas). Uma boa prática adotada é o estabelecimento de orçamento específico para questões de privacidade e proteção de dados pessoais, mas esse é um tema ainda em desenvolvimento no Brasil.
Outro ponto tão delicado está que, quando do início de vigência da GDPR muitas empresas ficaram preocupadas com a possibilidade da aplicação de multas milionárias, por isso o impacto foi que muitas empresas cessaram suas atividades temendo à não adequação e risco de sanções pesadas. Passados dois anos de vigência, a realidade mostrou que, na verdade, poucos foram os casos em que houve aplicação de multas, mas no Brasil a questão das multas pode ser tratada de forma diferente. Outras diferenças, principalmente geradas pelas culturas, também deveriam ser avaliadas, como por exemplo, os desafios na inovação, a transparência das informações e, por fim, a forma que as empresas possam conseguir para utilizar e divulgar as informações dos titulares enfraquecendo esses direitos.
Isso apenas demonstra que, tanto a implantação pelas empresas quanto pelo governo federal, é mais delicado e que estes não estavam preparados para se adequar à lei. Pesquisas realizadas e avaliadas pela consultoria ICTS Protiviti mostram que 85% dos grupos ainda não estão totalmente preparados para a chegada da LGPD, que começou a valer plenamente em agosto. Os maiores problemas estão relacionados à governança, gestão de processos e gestão de riscos. A realidade exige que essas empresas corram contra o tempo, pois não haverá como escapar das sanções aplicadas pela Agência Nacional de Proteção de Dados (ANPD). A pesquisa ouviu 508 empresas, de todos os portes e segmentos, em diversas regiões do país. A ICTS ainda destacou que 72% das companhias com mais de 100 funcionários disseram que pretendem contratar serviços terceirizados para auxiliar na adequação da lei.
As regras de proteção de dados estabelecidas pela lei europeia e brasileira versam sobre questões de proteção de informações individuais e privacidade, colocando as pessoas no controle total de tais dados, ainda que estejam na posse de terceiros. Na prática, os usuários deverão dar seu consentimento explícito (por escrito ou de outra maneira) para que seus dados sejam utilizados, além disso, também poderão pedir aos agentes de tratamento a confirmação de seus dados, o acesso a eles, sua correção, anonimização, bloqueio, eliminação e portabilidade, e, complementando, os usuários deverão ainda ser corretamente informados sobre o tipo de operação a que seus dados são submetidos (respeitando-se o segredo comercial e industrial dos tratadores) e se eles são compartilhados.
Com certeza nós ainda não damos a devida atenção às questões que envolvem a LGPD. No artigo, "Por que a LGPD é bem-vinda nos dias atuais?" (Diário do Comércio), destaca que, se por um lado o tratamento de dados pode proporcionar uma experiência mais personalizada, também pode violar a privacidade/intimidade e gerar manipulação por cercear, ou ao menos diminuir, a sua capacidade de escolha daquilo que realmente te interessa, pois no final do dia você terá recebido apenas notícias e serviços que uma máquina escolheu como adequados para você.
A matéria ainda enfatiza um exemplo que representa muito bem os sérios impactos da manipulação dos dados pessoais. É o que ocorreu na última eleição para presidente dos Estados Unidos. Um app instalado no Facebook e usado pela Cambridge Analytica que fazia testes de personalidade "gratuitos" como contrapartida tinha acesso não só aos resultados de seus testes, mas também as suas curtidas, as curtidas dos seus amigos e dos amigos dos amigos daqueles que faziam o teste.
O interessante era o motivo real que essas informações foram utilizadas. A matéria informa que com os dados foi possível traçar o perfil psicológico de 87 milhões de pessoas indecisas sobre Donald Trump. Essas pessoas foram divididas em cinco perfis: mente aberta, conscientes, extrovertidos, amáveis e neuróticos e passaram a receber propaganda eleitoral altamente personalizada de acordo com o seu perfil. Assim, cada pessoa recebeu um discurso elaborado com base nas suas tendências, hábitos e perspectivas.
O resultado nós já sabemos - Donald Trump foi eleito presidente dos EUA. Agora pare e comece a pensar ou simplesmente imaginar onde estão suas informações. Você está tranquilo com isso? A LGPD é semelhante ao código de defesa do consumidor e visa proteger o elo mais fraco no mercado de consumo, ou seja, nós.
As empresas deverão adaptar-se à LGPD gerenciando as informações, onde os gestores das organizações deverão realizar um mapeamento dos processos para saber quais são as principais operações e quantos dados serão necessários para cada uma, de maneira definida e específica. Dessa forma, vai ser possível gerenciar as informações e controlar o ciclo delas nas bases internas no caso de uma fiscalização.
Complementando, é importante se atentar para os dados já coletados, pois, mesmo os dados que foram coletados antes da lei entrar em vigor precisarão estar em conformidade. Portanto, para continuar utilizando-os as empresas precisarão obter o consentimento dos usuários. Caso o contrário, a organização não poderá mais utilizar essas informações. Lembrando ainda que, a LGPD é aplicável para qualquer operação que trate dados pessoais coletados dentro do país, sejam eles adquiridos de forma online ou offline. Portanto, dados físicos também necessitarão do consentimento do proprietário.
E para todos esses pontos destacados as empresas irão se submeter à fiscalização da Agência Nacional de Proteção de Dados (ANPD), que será responsável por controlar a atividade do tratamento das informações do país.
Além disso, as organizações ainda estarão sujeitas à fiscalização e eventual responsabilização pelo Ministério Público (Estadual e Federal) e Procon, que podem, inclusive, manejar ações judiciais para realizar a apuração de dados coletivos. Ou seja, a Lei Geral de Proteção de Dados envolve muitas questões e exige que todas as empresas, independentemente de seu setor ou tamanho, desenvolvam atividades de captura, tratamento, compartilhamento ou fornecimento de dados e adequem suas operações. Por isso, não deixe para a última hora e comece já o processo de conformidade.
Outro ponto envolve a restrição ao uso, segundo os princípios de finalidade, necessidade e consentimento, que devem ser avaliados e responsabilidades identificadas desde subcontratantes e parceiras da empresa. Ou seja, todos terão que se adaptar às normas estabelecidas, podendo ser penalizadas.
As principais vantagens da LGPD brasileira são a otimização de rede, liberação de espaço na nuvem ou no data center, identificação e organização dos dados rastreados, incluindo a construção de relações mais transparentes como uma oportunidade para as empresas se aproximarem de seus stakeholders e mostrarem seu comprometimento e responsabilidade com os insumos que lhes são confiados. Sem contar a valorização da segurança cibernética, onde as empresas começarão a criar políticas internas de segurança que contribuirão para redução dos riscos de uso inadequado de informações pessoais, bem como de invasões, violações ou vazamentos de dados. Complementando, a melhora do gerenciamento dos dados coletados e armazenados possibilitará uma auditoria para refinamento dos processos atualmente utilizados e também um futuro aprimoramento do gerenciamento de dados pelas empresas, que por fim poderá gerar um aumento dos lucros das organizações.
Por outro lado, as desvantagens também são um tema que deve ser avaliado com muito cuidado. Entre eles, destaca-se a penalidade extremamente alta à empresa que deixar escapar um dado (mais detalhes no final do material), os altos custos, que, ao buscar adaptações sistêmicas para atendimento da LGPD não estavam previsto nas organizações e provavelmente serão necessárias providências para alteração de procedimentos em todas as estruturas das empresas. E soma-se a pandemia do coronavírus, que deixou mais caótica a situação de muitas empresas que agora lutam para sobreviver, não tendo condições de investir, além de tempo curto para traçar estratégias, bem como o alto custo para implementação de novos sistemas tanto para obtenção de dados essenciais à contratação do serviço quanto para o posterior tratamento deles.
Reforçando alguns aspectos, as empresas que não se adaptarem à LGPD pode trazer uma série de multas para negócios brasileiros, em que as penalidades vão desde alertas e advertências iniciais, mas, caso o negócio cometa uma infração grave, os prejuízos em dinheiro podem inclusive ter o seu valor aumentado diariamente e uma penalidade máxima poderá ter como referência o valor de 2% sobre o faturamento anual do negócio. Essa cifra ficará limitada a um limite de R$ 50 milhões por infração.
Já a fiscalização das empresas irá se submeter à fiscalização da Agência Nacional de Proteção de Dados (ANPD), que será responsável por controlar a atividade do tratamento das informações do país. Além disso, as organizações ainda estarão sujeitas à fiscalização e eventual responsabilização pelo Ministério Público (Estadual e Federal) e Procon, que podem, inclusive, manejar ações judiciais para realizar a apuração de dados coletivos.
Por fim, o que vem ocorrendo é uma tentativa de padronizar as informações por ramo de negócio a fim de facilitar a implantação do LGPD nas empresas. Contudo, os impactos nas empresas ainda estão no início e com certeza, adaptações serão mais do que necessárias, e, por se tratar de uma lei que possui muitas particularidades - ainda mais que é sobre um tema que demanda inúmeros detalhes, dados e suas informações, que por sua vez cria um ambiente que não só há a necessidade de tratar os dados atuais, mas também dados já existentes -, vai exigir uma atenção minuciosa das empresas para se adequar a essa nova lei. Portanto, para mim, a lei só será aceita facilmente se as autoridades estabelecerem uma certa flexibilidade nas punições, tempo suficiente para traçar estratégias e disponibilização de informações de fácil acesso e claramente explicadas a fim de sanar muitas dúvidas que as empresas acabam recorrendo a serviços terceirizados para poderem se ajustar à essa lei.
*Eduardo Belli Neto, gerente de Controladoria e Planejamento Financeiro da Hesselbach Company
