Já é possível afirmar no final desta segunda década do século que os dados valem mais que o petróleo. Uma análise rápida do ranking das 100 marcas mais valiosas do planeta, publicado em maio pela revista Forbes, aponta que as 5 empresas líderes são da área de tecnologia. Dito de outra forma, são companhias que têm nos dados dos consumidores seus principais insumos e ativos.
Tanto poder não poderia mais continuar desamparado de regulação específica, principalmente após os primeiros grandes escândalos envolvendo utilização de dados pessoais sensíveis para manipulação de resultados em eleições presidenciais. O laissez-faire na era do Big Data resultou nas leis que desde 2018 tentam frear usos criminosos ou aéticos de quintilhões ou sextilhões de dados que circulam nas nuvens e na internet.
Vale a pena lembrar como esta mudança de paradigma teve início. O mais importante caso aconteceu com a Cambridge Analytica. Fundada na Inglaterra em 2013, a empresa combinava análise de dados com comunicação estratégica para interferir no processo eleitoral.
Apesar de iniciar os trabalhos em solo americano na campanha de Ted Cruz, candidato interno do partido Republicano, foi na campanha de Donald Trump que a manipulação da Cambridge tomou proporções maiores. A utilização de dados de 87 milhões de pessoas obtidos no Facebook com o objetivo de mapeamento e envio de mídias para influenciar indecisos a votarem no atual presidente americano gerou controvérsias, acarretando uma enorme investigação que resultou no fechamento da empresa e imputou ao Facebook uma multa de US$ 5 bilhões.
Após as notícias tomarem conta dos jornais e noticiários do mundo, burocratas dos países democráticos se viram obrigados a sentar à mesa e debater a regulação e a proteção de dados. A Europa foi pioneira no assunto em 2018, com a adoção de um robusto regulamento para proteção de dados, a General Data Protection Regulation (GDPR). Foi seguida pelos Estados Unidos. O Brasil, apesar de não ter sido tão rápido, prontificou-se e aprovou por unanimidade no Senado a Lei Geral de Proteção de Dados (LGPD).
Os governos, ainda que lentos, fizeram sua parte e agora chegou a vez das empresas. Entretanto, uma pesquisa recente da Serasa Experian constatou que 85% delas declaram que ainda não estão prontas para atender às exigências da Lei de Proteção de Dados Pessoais. Diante deste cenário, o Planalto decidiu aumentar o vacatio legis (período de vacância), que o tempo em que uma lei leva para entrar em vigor.
O prazo que já era grande, foi estendido para agosto de 2020, tornando-se o maior período entre a promulgação de uma lei e o início de seu vigor na história do Brasil e sendo objeto de discussão no seminário "Comunicação e Novas Tecnologias — Proteção de Dados e Simetria Regulatória" realizado pelo STJ.
Os impactos causados pela lei e os desafios na regulação serão inegáveis. A distância entre agosto de 2019 e 2020 ilude principalmente as pequenas e médias empresas, pois aqueles que ainda não iniciaram um projeto de adequação poderão não estar em compliance (conformidade) quando a lei entrar em vigor, trazendo prejuízos financeiros e reputacionais sem precedentes aos desconformes. Aos que ainda mantém-se inertes diante deste cenário, a corrida para adequação já começou!
Alan Novaes, analista de Compliance Tech e Data Privacy na P&B Compliance.
