Newsletter

LGPD 2020

PARTE I

Rumo ao ‘business as usual’

Se 2018 foi o ano da promulgação, e consequentemente, nascimento da Lei Geral de Proteção de Dados Pessoais, 2019 será lembrado como o ano em que a LGPD se fez conhecer pelo mercado. A estreia no (in)consciente coletivo, que se deu com pompa, fanfarra e muita energia, precedeu a entrada em vigor da lei prevista para agosto de 2020. Os números do Google Trends confirmam o fenômeno

De acordo com a ferramenta de monitoramento do motor de buscas, tomado o critério de interesse ao longo do tempo, a LGPD começa a levantar voo no ranking das preocupações coletivas em julho de 2018, ou seja, um mês antes de ser sancionada, e chega ao pico de aparições na semana do dia 20 outubro último. O gradiente ascendente que marca o interesse pela lei é íngreme. Começa em 3 pontos base em julho de 2018, sobe para 10 pontos na data da promulgação e 15 pontos em dezembro do ano passado. Alcança 25 pontos em fevereiro desse ano, marca que é dobrada já em fins de maio, 75 pontos em setembro, para atingir o pico de 100 pontos em outubro deste ano.

O reflexo no mundo real acompanha os números do marcador de tendências digital. Em intervalo de apenas 15 meses, surgiram, em alto volume, cursos, palestras, artigos, livros, blogs, vídeos etc. No mesmo período nasceram especialistas de longa data, consultorias experientes, grupos de WhatsApp, modelos de negócio e, até mesmo, negócios inteiros. O script não chega a surpreender pelo enredo, mas sim pela velocidade e, especialmente, pelo vigor que carrega. A par de outros drivers, tais como a absoluta novidade do tema, a guilhotina de risco que será acionada em agosto de 2020 carrega a explicação para o estouro tão poderoso da manada da proteção de dados.

O que mais impressiona, nem tanto é a guinada em massa para uma mesma direção de forma tão abrupta, afinal, trata-se de uma lei – indutor de comportamento por excelência -, mas sim a energia e desorganização com que o ajuste de rumo está se dando. O estouro da manada levanta poeira, com atropelos, barulho, esbarrões, encontrões e, até mesmo, alguns pisoteios. Tal qual ocorre nos melhores episódios dos documentários da BBC.

As consequências práticas da explosão vão se desnudando em paralelo ao desenrolar do fenômeno. Erros, confusão, ineficiência e insegurança se fazem ouvir claramente apesar de todo o ruído. São muitos os exemplos: diversidade ampla de metodologias para adequação, incertezas de natureza técnica, a disparidade de orçamentos que chega a múltiplos de 4 ou até 5, aceite de soluções mirabolantes (tanto as subdimensionadas, quanto as matadoras), indutores exagerados de preocupação sendo absorvidos com facilidade. Em meio a tanta variação de abordagens, a lógica leva à conclusão inevitável: tem muita gente errando. A ironia é que os erros se dão em meio a um oceano de conteúdo informativo. Muitos conhecem, nem tantos sabem. Mais uma vez, nada que fuja ao script.

Uma lei que surgiu de forma tão repentina – o Brasil não contava com cultura prévia em proteção de dados – , que é tão impactante do ponto de vista econômico – já que afeta diretamente os processos de transformação digital –, que é tão peculiar, difícil de entender e atrativa comercialmente, só podia mesmo gerar barulho e desencontros.

Faz parte. A verdade é que é uma fase aprendizado para todos, pelo simples fato de que o é para o mundo inteiro e não apenas para o Brasil. E trata-se de lição bastante complexa, que busca por soluções sofisticadas e, muitas vezes, ainda não conhecidas – para alguns, impossíveis. Contudo, o fato de que os erros são justificáveis não afasta a realidade de que consomem recursos valiosos: especialmente tempo (que não estará mais disponível em 2020) e dinheiro.

A boa notícia é que as principais projeções para 2020 vão no sentido do ajuste e da consolidação. Energia tem a tendência natural de se dissipar e o estouro da LGPD dá sinais de que irá no mesmo sentido.

A ANPD, criada em 2019, deve se consolidar em 2020 e atuará como a principal fonte de ajuste de expectativas. As regras ficarão mais claras, o que tornará o jogo mais fluido e dará direção aos desgarrados.

Se por um lado o prazo do vacatio legis se esgota – o que poderia gerar ansiedade ainda maior – por outro, já contamos com os aprendizados de 2019, cortesia dos early adopters. As lições aprendidas serão depuradas pelos projetos que serão contratados ao longo do próximo ano, cujo volume tende, no mínimo, a dobrar. É visível que a eficiência tem aumentado de forma exponencial nos programas de adequação. Projetos com intervalo de três meses de contratação trazem diferenças significativas entre si.

O ingresso de profissionais de especialidades diferentes no processo também tem colaborado para a eficiência. Em área caracterizada pela multidisciplinariedade, conhecimento e habilidades diversas produzem consenso e não o contrário, como se poderia supor. O maior exemplo disso são as soluções baseadas em tecnologia que têm se apresentado ao mercado nos últimos meses. Produzidas em regime de colaboração entre advogados, profissionais de tecnologia da informação, gestores de riscos e compliance, serão fundamentais em cenário onde o tempo é escasso, e parecem ser a grande promessa para 2020.

O alvoroço de 2019, ano de estreia da LGPD, já dá sinais de arrefecimento no próprio Google Trends. De outubro para cá a média de interesse pelo termo LGPD tem se mantido em 75 pontos. Sinal de que estamos a caminho do BAU – Business as Usual. Esse é o destino desejável para a Proteção de Dados Pessoais: ser parte integrante de nossos processos de negócio, porém de forma imperceptível. Algo que sabemos que está lá, mas quase não sentimos.

PARTE II

O que muda? Como se adequar?

“ A Lei Geral de Proteção de Dados eleva o Brasil à um novo patamar, onde possuir um programa dedicado ao compliance especificamente a proteção de dados passa a ser uma necessidade”

A promulgação da Lei Geral de Proteção de Dados – LGPD, que entrará em vigor no dia 15 de agosto de 2020, trouxe o dever de segurança e responsabilidade quanto ao tratamento dos dados pessoais, estabelecendo uma série de requisitos e procedimentos às empresas.

Assim, resta claro que a LGPD é a mais nova grande Lei no Brasil, de modo que, para estar em compliance quando da vigência da mesma, as empresas deverão enxergar a proteção de dados pessoais como importante direito dos indivíduos, para tanto, deverão agir com efetiva responsabilidade perante as obrigações a serem cumpridas, com o objetivo de serem muito transparentes com os cidadãos e com o mercado.

A LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais. Assim, podemos entender que a lei possui aplicação ampla e abrangente, que atinge grande parte de projetos e atividades do cotidiano empresarial.

A Lei também tem aplicação extraterritorial, ou seja, às empresas que (i) não só tenham estabelecimento no Brasil; mas também (ii) ofereçam serviços ao mercado consumidor brasileiro; ou (iii) coletem e tratem dados de pessoas localizadas no país, que é exatamente o caso da RCI.

Nesse ponto em específico, é importante salientar que a RCI Brasil por ser uma empresa norte americana, onde a legislação de proteção já é uma realidade um pouco mais madura, adota práticas de compliance no âmbito da proteção de dados há algum tempo. A Lei Geral de Proteção de Dados brasileira (Lei 13.709/2018), veio para complementar as práticas já adotadas pela RCI, a mesma foi inspirada no “General Data Protection Regulation – GDPR” o regulamento de proteção de dados da União Europeia.

É importante ressaltar que a LGPD provocará uma mudança radical na forma de tratamento de dados pessoais em todas as empresas brasileiras, das menores às maiores, envolvendo qualquer atividade, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, relações comerciais transnacionais e nacionais, além de outras relações nas quais dados pessoais sejam coletados tanto no ambiente digital quanto fora dele.

Em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento dos seus dados pessoais. Um dos princípios mais relevantes é o da finalidade, por meio do qual os dados deverão ser utilizados apenas para as finalidades especificas para as quais foram coletados e devidamente informadas aos titulares, juntamente com o princípio da minimização da coleta, isto é, somente devem ser coletados os dados mínimos necessários para que se possa atingir a finalidade, e o da retenção mínima, o qual determina a imediata exclusão dos dados, após atingida a finalidade pela qual eles foram coletados.

A não conformidade com a lei gera a responsabilidade de indenizar, sendo qualquer incidente relacionado a dados pessoais um incidente de segurança da informação, passível de multa de 2% do faturamento até o limite de R$ 50.000.000 milhões, além do dano a reputação, que em muitas vezes se torna ainda mais doloroso.

Na gestão desse novo modelo, três atores são imprescindíveis, o controlador de dados, que definirá quem coleta os dados e decide sobre a forma e finalidade de tratamento, o operador que realiza o tratamento dos dados, e o encarregado que exercerá o papel de comunicação entre o controlador, titulares de direito e autoridade nacional, além de orientar funcionários do controlador sobre práticas de tratamento de dados.

Com isso, entendemos que a lei obriga adoção de boas práticas de proteção de dados pessoais por parte das empresas que ofertam produtos ou serviços a indivíduos localizados no Brasil. Nesse entendimento, a LGPD chegou para construir as bases de uma economia digital sólida e sustentável e sairá na frente quem for capaz de entender a nova realidade, transformando o dever de conformidade e proteção legal em vantagem competitiva.

Voltar