Ainda é pequeno o nível de mobilização de empresas no Brasil para adequação da Lei Geral de Proteção de Dados, salvo algumas exceções, que iniciaram sua preparação antes mesmo da LGPD ser sancionada por terem operações em países europeus, legislados pela General Data Protection Regulation (GDPR) desde maio de 2018.
É o jeitinho brasileiro, em deixar tudo para a última hora, que também se faz presente quando o assunto é LGPD e suas adequações em empresas nacionais. Para se ter uma ideia, numa pesquisa por meio de um portal sobre o nível de adequação à nova lei, das 75 organizações respondentes, a média de maturidade está em 25%, sendo que 40% deste grupo de empresas sequer iniciou o processo de adequação.
E, pelo andar da carruagem, antecipo que haverá uma aceleração somente a partir de janeiro de 2020, quando o prazo para adequação se aproxima da data de início da vigência da lei.
Há menos de 300 dias para adequar-se a uma série de regras, que se não forem seguidas, poderão gerar multas milionárias para as empresas. A impressão que se tem é que as companhias estão a olhar a banda passar, sem nada por fazer porque ainda não sabem como devem se preparar para a LGPD, principalmente em relação à gestão de dados pessoal.
Para iniciar um processo de adequação consistente, as companhias devem realizar um levantamento de todas as atividades que envolvem tratamento de dados pessoais e sensíveis. Isso significa saber como coletam, armazenam, analisam e enriquecem tais dados.
Nesta linha, com suporte de um assessor jurídico, um trabalho de avaliação das bases legais para tratamento de dados pessoais deverá ser realizado, objetivando minimizar esforços para alteração de processos ou mesmo solicitar consentimento para situações em que a empresa não tenha base legal para tratamento dos dados.
Após esse trabalho, as empresas devem iniciar um processo para construir os pilares de sustentação do programa, visando a adequação do programa à LGPD e sua perenidade. Estamos falando de processos para gerenciamento do consentimento e garantia dos direitos dos titulares de dados, tais como colaborados, acionistas, candidatos a vagas de trabalho e terceiros, adequação de contratos de trabalho e revisão de processos na gestão de benefícios.
Apesar da lei entrar em vigor a poucos meses, existem diversas ações, como a revisão e estruturação de processos, assim como a implantação de ferramentas e, principalmente, mudança de cultura dos colaboradores no tratamento de dados pessoais. Isto demanda investimentos e esforços das empresas e exigem senso de urgência pela liderança das organizações.
A maior parte das empresas brasileiras ainda trata a adequação à LGPD como uma questão de advogados, profissionais de TI e de Compliance, quando deveria atribuir a responsabilidades a todos os envolvidos da organização. A ficha ainda não caiu para muitos executivos. O alcance e impactos da LGPD são muito profundos, afetando a estratégia e a operação das empresas, e exigindo transformações organizacionais que não podem ser subestimadas.
André Cilurzo, especialista em LGPD e diretor associado da ICTS Protiviti.