O dia 14 de agosto de 2018 entrou para a história como um marco na luta pela proteção das informações dos brasileiros. Nesta data foi sancionada a Lei Geral de Proteção de Dados, a famosa LGPD, sigla que, desde então, se tornou obrigatória em praticamente todas as mesas de discussão relacionadas à realização de negócios do país. Dois anos depois, em setembro de 2020, seus conceitos e exigências passaram efetivamente a vigorar e modificaram para sempre o comportamento do ecossistema corporativo brasileiro.
Ao se completarem seis anos do início deste processo, já é possível fazer uma reflexão e extrair de tudo o que já aconteceu simbolicamente seis lições básicas a respeito da relação das empresas com essa legislação.
1 – O primeiro entendimento é que a LGPD superou aquela máxima incorporada ao inconsciente coletivo brasileiro de que neste país "existem leis que pegam e outras que não pegam'. Seja pelo caráter fiscalizatório e punitivo, seja pela dificuldade em realizar negócios encontrada por quem se recusa a levar o assunto a sério, não resta nenhuma dúvida sobre o fato de que a conformidade com a LGPD impacta diretamente a continuidade de negócios.
2 – O segundo ponto de consenso é que a tarefa de designar o DPO, ou a pessoa que será encarregada pelo tratamento dos dados, apesar de muitos acharem que resolve todos os problemas, é somente uma das exigências da lei e não a única. A regulamentação recente da LGPD inclusive deixa claro que esse profissional deve orientar e recomendar com base em conhecimento técnico para que a organização tome as decisões no sentido de cumprir um programa de governança e adotar boas práticas para que ela seja efetiva no respeito ao direito constitucional de privacidade de dados de todas as pessoas físicas, mas ele não será responsável por fazer isso tudo sozinho.
3 – Ainda sobre esse tema, o terceiro ensinamento é que não existe DPO NATO, ou seja; para atuar de forma condizente com as responsabilidades de um encarregado de dados é necessário estudar muito, incluindo no currículo certificações importantes como EXIN e IAPP que são essenciais para quem deseja atuar na área.
4 – Não existe conformidade da LGPD sem Governança em Privacidade e Proteção de Dados. Este ponto foi reforçado por exemplo pelo episódio das sanções impostas à Meta pela ANPD ainda neste ano. Estes pequenos arranhões na imagem dessa organização icônica provaram que as empresas precisam ser orientadas de que não basta fazer ajustes pontuais apenas em alguns processos. A lei determina que desde a fase de planejamento de um determinado tratamento de dados os ajustes já precisam ser observados. Então, quando acontecem problemas como os detectados neste caso, significa claramente que a empresa está falhando profundamente na governança da privacidade e proteção de dados.
5 – Os prejuízos financeiros decorrentes da inconformidade, extrapolam as sanções previstas no texto da lei. Na maior parte dos casos a multa acaba sendo o menor dos problemas já que a perda da credibilidade no mercado tem um fator negativo muito mais perverso para a continuidade dos negócios. Isto sem falar que seis anos depois da promulgação, já se tornou praticamente impeditivo a concretização de negociação sem que todos os lados envolvidos consigam apresentar projetos consistentes de busca pela conformidade com a LGPD.
6 – A sexta e conclusiva lição destes primeiros anos de LGPD é que o barato sai muito caro! E este item não precisa de mais explicações.
Bruna Fabiane da Silva, sócia da DeServ Academy e coautora do livro "LGPD: Muito além da Lei". Ela foi eleita no final do ano passado uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity).
