A Lei Geral de Proteção de Dados (LGPD) vem sendo discutida desde 2010 no Brasil, quando foi realizada a primeira audiência pública sobre o tema. Desde então, se criou o Marco Civil da Internet (2014), que veio com o objetivo de regulamentar as relações dos usuários de internet e as empresas provedoras do serviço. Em 2018, a União Europeia (UE) publicou a GDPR (General Data Protection Regularion) com o intuito de regulamentar e proteger o tratamento de dados pessoais para agentes de tratamento oriundos da UE, independentemente do local de coleta destes dados, demonstrando a sua aplicação extraterritorial. Isto, um pouco depois do incidente envolvendo Facebook e Cambridge Analytica e os respectivos escândalos de vazamento de dados envolvendo eleições em diversos países.
Tornou-se imprescindível dispor sobre legislação similar à GDPR no Brasil. Primeiramente, pelo fato do valor de mercado do ativo “dados pessoais” ter ultrapassado a marca do petróleo desde 2017. Segundo, porque a maior parte dos países já possui uma legislação de proteção de dados – não só os países desenvolvidos, mas os em desenvolvimento, inclusive (como exemplo, podemos citar Chile, Uruguai, Paraguai), prevendo, ainda, que somente poderão manter relações comerciais internacionais com países que possuam legislação de proteção de dados pessoais. Por fim, pelo fato de que com a revolução tecnológica que estamos enfrentando nos dias de hoje, onde processos de RPA (robotic process automation) e inteligência artificial fazem parte dos nossos desafios diários, ter uma legislação que proteja os nossos dados pessoais é fundamental para a manutenção das relações jurídicas contemporâneas.
No cenário Brasil, sem dúvida, a implementação da LGPD é um desafio, principalmente pelo fato de que o brasileiro não possui a cultura da privacidade enraizada como a Alemanha, por exemplo. Além disso, ainda há uma resistência forte de diversas empresas e cidadãos quanto à data de aplicação da lei, inicialmente prevista para 16/08/2020. Em 30/10/2018 (menos de 1 ano para a entrada em vigor da LGPD), foi protocolado um projeto de lei (PL 5762/2019) sugerindo a prorrogação da lei para 2022, o que causa uma grande insegurança jurídica nas relações comerciais.
Felizmente, já conseguimos observar não só as empresas se movimentando para se adequar à lei, como também órgãos públicos, o que nos leva a crer que a data da sua vigência, a princípio, permanece intacta. Ainda, nem é recomendável que as empresas aguardem ao desenrolar deste PL, pois há pouquíssimo tempo para implementar as ações mínimas para se adequar à lei.
O projeto é longo e depois de estabelecido, se torna um processo contínuo, que vai perdurar ao longo da existência da organização, já que a LGPD é válida por prazo indeterminado. Antes de mais nada, é imprescindível que a empresa realize um diagnóstico para avaliar quais são os gaps, mapeá-los e traçar planos de ação. Esta primeira etapa, dependendo do nível de maturidade da empresa, pode levar de 60 a 90 dias. Isto, se a empresa estiver com esforços dedicados para fazer o projeto acontecer, com a participação das áreas-chave do projeto e com o devido tone at the top da alta direção para validar a importância do projeto. Lembrem-se: a LGPD é multidisciplinar e não vai afetar só TI ou jurídico, mas a empresa como um todo.
Com o resultado do DPIA (data protection impact assessment, espécie de relatório de impacto) será possível ter um plano de ação definido com os próximos passos para que, eventualmente, a empresa reformule contratos, termos de consentimento, aditivos, políticas de segurança, etc. E tudo isto, antes de 16/08/2020.
Dentro de todo este projeto, ainda há o desafio de selecionar um encarregado de dados, (data protection officer – DPO), cargo este, que desafia as organizações, pois é inédito no Brasil. O DPO pode ser interno ou externo, devendo levar em consideração os prós e contras antes da tomada de decisão. Contudo, o ideal seria que este DPO acompanhasse todo o projeto de implementação da LGPD para facilitar no seu acompanhamento posterior.
E, o maior desafio de todos, a mudança de cultura, que não ocorrerá em 1 semana, 1 mês, mas que levará mais de 1 ano para se notar uma diferença de comportamento das equipes. Este prazo é o mínimo que se tem observado para alterar a cultura organizacional de uma empresa. Lembrando que quanto maior for o tamanho da organização, maior a sua complexidade e sensibilidade às mudanças culturais.
O caminho é longo e os procedimentos de implementação são densos. Mas pensando pelo lado positivo, isto nos leva a um outro patamar em termos de relações comerciais e credibilidade internacional, permitindo que as empresas e suas atuações de marketing obedeçam a critérios sustentáveis de crescimento, além de fomentar negócios internacionais para o nosso país.
Flavia Coelho Leite
Membro da Comissão Especial da Lei Geral de Proteção de Dados da Federasul
Advogada na FCL Advocacia Empresarial