Por Renata Ciampi e Luís Cruz e Creuz
Chegamos em 2020 – Sua empresa planejou ou tem budget para se adaptar?
A Lei Geral de Proteção de Dados, Lei nº 13.709, de 14 de agosto de 2018 (LGPD) está em seu período de vacatio legis, período no qual empreendedores e empresários devem avaliar seus negócios para adequar-se sem ressalvas ao novo modelo. A nova regulamentação decorreu de um processo natural – mas não sem desafios – de regulamentação decorrente de uma maior conscientização acerca da atual importância dos dados pessoais. Isso porque não de hoje, os dados se tornaram essenciais para planejamento, desenvolvimento, operação e expansão de negócios a tal ponto de serem comparados ao petróleo (data is the new oil - Clive Humby).
Mas, como já advertimos em outra oportunidade, o processo de adaptação e conformidade para com a LGPD pode não ser simples como muitos imaginam, e não será, com certeza, uma simples adaptação de políticas de privacidade que farão com que empresas estejam com seu compliance de dados em dia. É necessária investigação e um trabalho detalhado de levantamento de quais dados a empresa lida, pois os negócios que serão mais afetados pela LGPD são aqueles que tem operações B2C (Business to Consumer), especialmente aquelas que envolvem transações em grande escala com indivíduos.
A princípio a LGPD entrará em vigor em agosto de 2020
Revisão de processos, políticas, treinamentos, cartilhas, levantamento de fluxos, procedimentos e metodologias, mapeamento dos dados pessoais, análise de riscos de vazamento, e atividades associadas à estratégia de higienização do mailing e banco de dados da empresa são alguns dos elementos que devem estar no radar. Claro que o nível de detalhe e de complexidade vai depender muito do negócio propriamente dito, mas também da forma como o empresário decidir encarar a proteção de dados em sua empresa.
Mas depois disso, um outro importante questionamento deve ser feito. Qual espaço no planejamento feito em 2019 foi reservado para um projeto desta magnitude? Qual budget segregado para a implementação da LGPD dentro da corporação – qualquer que seja seu tamanho, inclusas empresas em early stage ou startups.
Temos observado que, no tocante à adaptação aos novos padrões da LGPD, grande parte dos recursos e investimentos direcionados até o momento estão relacionados a soluções de descoberta, classificação e monitoramento dos dados, sejam estruturados (banco de dados) ou não estruturados (dispersos no interior de arquivos). Mas existem outras necessidades e distintos trabalhos que devem ser realizados para garantir que a empresa tenha controles efetivos, para que seja viável e que o risco seja reduzido no trabalho de big datas ou de data lakes (uso compartilhado e corporativo).
As corporações devem poder seguir a busca pela melhor oferta de experiência do cliente/usuário – mas o novo marco legal trouxe forte regulação (com duras penalidades) ao tratamento de dados, protegendo a titularidade (e acesso garantido) aos dados pessoais. Os direitos de privacidade são agora tutelados mais rigorosamente, aumentando a complexidade no relacionamento com o cliente/usuário e criando deveres para aqueles que se propõe a tratar dados pessoais no âmbito de seus negócios.
É vital que se tenha em mente que o desembolso necessário para o trabalho envolve frentes diversas, cada qual com seu custo, timing de trabalho, metodologias e necessidades, o que reflete diretamente no custo e no prazo necessário de trabalho. Significa dizer que pode representar grande perigo deixar todo o trabalho para último momento ou mesmo imaginando ou confiando num eventual adiamento do início de vigência – como já observamos afirmações neste sentido.
E com tudo isto, a gestão da empresa – de qualquer tamanho e estrutura – deve refletir e empenhar esforços para alocação de recursos eficazes para tais trabalhos.
Estamos em contagem regressiva para o início de vigência da LGPD. Sua empresa está preparada e/ou com caixa disponível para a implementação? A efetividade de políticas relacionadas à proteção do uso de dados e à privacidade devem estar alinhados às melhores práticas do mercado. Somente assim poderão ser evitadas penalidades contratuais, conflitos ou até mesmo custosas disputas judiciais com titulares de dados, além de sanções por parte da Autoridade Nacional (ANPD).
É importante que o empresário e empreendedor busque apoio para desenvolver uma estrutura básica de um programa de compliance de dados (monitoramento e controle).