Com a série de reviravoltas que acompanhamos nos últimos dias em relação ao início da vigência da Lei Geral de Proteção de Dados (LGPD), a pergunta que todos têm feito é: quando, de fato, ela começará a valer? Sancionada em agosto de 2018, a LGPD, que dispõe sobre o tratamento de dados de pessoas naturais, entrou em vigor na última sexta-feira (18). E é preciso avaliar se a sua empresa está aderente ao conjunto de requerimentos que ela traz.
Superada a indefinição sobre a data de início de sua vigência, a ausência da nomeação da Autoridade Nacional de Proteção de Dados traz desafios à efetiva implementação da lei, pois importantes pontos ainda requerem regulação e esclarecimentos. De toda forma, a adequação das organizações à LGPD é uma obrigação que precisa ser perseguida pelas empresas.
Tenho percebido que, mesmo após dois anos desde a sanção da lei, algumas organizações ainda têm muito trabalho pela frente. Por isso, com base em minha experiência, quero levantar aqui alguns pontos importantes e afastar alguns mitos, com o intuito de auxiliar na aplicação das medidas necessárias para essa transformação.
Minha primeira recomendação é: não tenha medo desse acrônimo!
Acredito que a LGPD permitirá um diferencial competitivo para que as empresas a implementem com o devido cuidado, trabalhando os dados pessoais em consonância com as disposições legais, de forma transparente e respeitosa perante os titulares. Além de apresentar diretrizes fundamentais, a LGPD tem um papel educativo essencial para a população. Vamos passar a entender melhor a finalidade do uso de dados pessoais, as políticas de privacidade, os critérios de tratamento, desde a coleta até a exclusão.
Precisaremos ser os agentes de transformação, auxiliando no processo de conscientização sobre os dados pessoais. Há quem entenda que é melhor a ausência de transparência no tratamento de dados pessoais. Eu, todavia, compartilho do entendimento de que a educação e o conhecimento trazem consumidores melhor preparados e aptos a entender nossos produtos e serviços, os consumindo de forma correta.
Faço um paralelo com o Código de Defesa do Consumidor. Nem todos tinham a noção de seus direitos até a implementação desse conjunto de normas. Hoje em dia, somos sabedores de como agir em determinadas situações e nos valemos disso em nosso dia a dia. Abusos existem? Sim, mas a informação e a aderência às normas é a melhor solução para coibi-los.
Entender a finalidade do tratamento de dados
Seguramente ganharemos maturidade durante esse processo. Na farmácia ou na página virtual do supermercado, por exemplo, nem sempre entendemos (ou somos informados) por que nos solicitam tantas informações. Cabe a nós começar a refletir sobre isso. Faz sentido fornecê-las? Eu gostaria de ser acionado por telefone, mensagem ou por outro canal posteriormente?
Nada mais justo do que compreender a finalidade no tratamento de seus dados. Por isso, as organizações precisam ser claras e promover uma transformação cultural que envolva diversas áreas — como Jurídico, Tecnologia, Segurança da Informação, Marketing, Soluções, Recursos Humanos, Finanças. Mostrar aos funcionários, do CEO ao estagiário, que a adequação tem a ver mais com respeitar o direito do titular da informação e menos com evitar punições. Aqui na Visa fizemos um mapeamento para identificar como cada área trata essa questão e promovemos um processo permanente de conscientização sobre a importância do tema. É um projeto de toda a empresa, todos são responsáveis!
De forma a tornar o tema mais prático, abordo a seguir 5 dúvidas que costumam surgir com frequência quando discutimos a LGPD. Espero ajudá-los com o tema:
E agora, minha empresa já pode ser punida?
As sanções administrativas previstas na LGPD serão aplicáveis a partir de 01 de agosto de 2021. Todavia, nada impede que titulares, autoridades e entidades coletivas apresentem pleitos sobre o tema.
A lei existe para bloquear o uso de dados?
É um equívoco. A pessoa tem o direito de ser informada com transparência e exatidão sobre a finalidade do uso dos dados. A LGPD trouxe 10 (dez) bases legais que permitem o tratamento dos dados pessoais (lembre-se que o tratamento de dados sensíveis é mais restrito). Assim, saímos da possibilidade de tratar os dados com respaldo apenas no consentimento para ter a possibilidade legítima de utilizar outras bases legais. Desta maneira, seu projeto, produto ou serviço pode ser analisado sob o prisma de outras hipóteses legais que não o consentimento que, embora seja aparentemente mais simples de gerenciar, traz uma série de controles necessários e pode ser revogado a qualquer momento.
A lei só se aplica ao ambiente digital?
Temos presenciado muitas discussões direcionadas apenas ao mundo virtual (muitas vezes focada na segurança cibernética), mas a LGPD é aplicável ao mundo físico também. Aquele formulário que você preenche na loja deve ter o mesmo tratamento cuidadoso que uma informação transmitida por meio digital.
Foi criada para punir as empresas e proteger o consumidor?
O objetivo é trazer um amadurecimento e responsabilidade de todas as partes envolvidas, pessoas físicas e jurídicas, na questão de proteção dos dados pessoais.
Só grandes empresas precisam se adequar?
Não. Empresas de todo porte precisam respeitar o conjunto de regras estabelecidas pela lei. E o quanto antes começar a avaliar, melhor. Sabemos que, para pequenas empresas, bem como para as startups e empresas de inovação, a Autoridade Nacional de Proteção de Dados terá a incumbência de definir procedimentos específicos — mas a transparência e zelo para com os dados pessoais é dever de todos.
Embora seja um processo que exija um forte esforço das organizações — encontrando inclusive resistência de alguns envolvidos receosos com as mudanças —, vejo a LGPD como algo muito positivo para as organizações. É uma oportunidade ímpar de organizar melhor os processos, da coleta ao expurgo das informações. Irá garantir um fluxo mais transparente e eficiente dos dados e, até mesmo, propiciará o desenvolvimento de novos negócios. É uma evolução natural que temos que enfrentar de frente.