Foi publicada no final de fevereiro, no Diário Oficial da União, a resolução Nº 4 que aprova o "Regulamento de Dosimetria e Aplicação de Sanções Administrativas", relativo a Lei Geral de Proteção de Dados, a nossa LGPD. Com isso, teremos novamente a chance de responder uma pergunta comum em todas as leis que produzimos no Brasil: vai pegar?
Com este regulamento, a ANPD – Autoridade Nacional de Proteção de Dados – cria, finalmente, as condições para tornar realidade as ameaças utilizadas para que as organizações se adequem à legislação. Mas, será que isto significa que privacidade e proteção de dados terão mais atenção daqui para a frente?
Pessoalmente, nunca acreditei que a motivação para as organizações se adequarem a LGPD deveria ser o "medo", apesar de a máxima de que o "bolso é onde dói" ser um mantra comportamental bem aceito por aqui.
Alerto que aquelas que se adaptarem a LGPD somente pelo medo de serem multadas ou se protegeram para não perder casos eventualmente levados à justiça, estão se descuidando do que realmente é importante: o entendimento de que proteção de dados e privacidade é um ativo importante na arquitetura empresarial moderna, onde o modelo operacional consonante com princípios de governança consistentes é crucial para a continuidade dos negócios.
Hoje, já estamos em um mundo onde a ciência de dados é uma oportunidade enorme de melhoria nos resultados de suas estratégias para experiência do cliente e monetização de suas iniciativas de marketing. A reputação das organizações é pautada, sem dúvida, na opinião de seus clientes. Quaisquer situações em que existem ameaças à reputação devem ser temidas, pois ameaçam a saúde do negócio. E a preocupação não para aí. Não basta sua organização e o seu ecossistema estarem adequados, considerando o elevado nível de terceirização, e até quarteirização, que vemos hoje. A quebra da reputação de um operador compromete a do controlador.
Neste ponto, precisamos nos lembrar de quem concede a reputação às organizações: clientes, fornecedores, funcionários, entre outros que não por acaso são titulares dos dados pessoais eventualmente tratados. E o que acontece se estes dados pessoais não forem tratados com o devido cuidado, segundo os princípios determinados pela LGPD?
Os incidentes de violação, que são as quebras de segurança onde dados pessoais ou pessoais sensíveis são acessados por quem não deveria ou poderia fazê-lo, que são inevitáveis mas poderiam ser gerenciados, ocorrerão sem que se tenha como detectar ou remediar. Os planos de adequação baseados na defesa de multas ou eventuais demandas judiciais, mesmo com seus disclaimers e políticas muito bem redigidos, não são eficazes para evitá-los nem as suas consequências práticas para os titulares.
E os legisladores sabiam disto. Tanto que o artigo 46 da LGPD em seu caput e parágrafo primeiro mencionam "medidas de segurança técnicas e administrativas aptas a proteger dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito", assim como a ANPD tem atribuições de "dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios no caput do Artigo 6 desta Lei".
Só estes artigos da lei já indicam a necessidade de uma atenção muito mais profunda e melhor orientada tecnicamente, se organizações ou empresas desejam realmente se adequar a LGPD. Esta lei não foi criada para atender expectativas de empresas ou organizações de quaisquer naturezas, mas sim as dos titulares de dados pessoais, eventualmente utilizados por estas.
Não é uma lei para CNPJ, mas para CPF e, em algum momento, quando os portadores destes números estiverem conscientes de que têm direitos e que podem ser exercidos a qualquer momento – em relação aos controladores e operadores de seus dados pessoais – pode ser que os CNPJ's finalmente acordem e vejam que fizeram muito menos do que deveriam, ou que não adianta se articularem em lobbies setoriais para pressionar ou manipular a ANPD por regras mais brandas e mais convenientes para permitir que as providências necessárias e não tomadas sejam colocadas para debaixo do tapete, com subterfúgios ou prazos convenientes.
É preciso entender, de uma vez por todas, que a multa está no topo de um iceberg muito maior que envolve a reputação e credibilidade de quem ainda tem o comportamento antigo de acreditar que conformidade é evitar multas ou se defender de demandas judiciais. O objetivo da lei não é punir empresas, mas defender as pessoas físicas, cujos dados pessoais são de uma forma ou de outra tratada por elas. Multa e outras medidas que afetam a própria reputação são os instrumentos para mostrar a sociedade que este comportamento não é mais tolerado.
Mas, se por acaso você, empreendedor, executivo ou gestor de uma organização ou empresa, ainda tem este pensamento obsoleto de que governança, conformidade e risco é um comportamento reativo de se defender de acusações ou evitar multas, acho que tem muita coisa a aprender ainda. É possível que, em breve, sua organização ou empresa o responsabilize por ter sua reputação e credibilidade destruídas por conta de um incidente de violação previsível, não gerenciado e que causou danos a seus titulares e infringiu a LGPD. Além dos prejuízos para os seus negócios e das multas aplicadas pela por não ter feito o suficiente para evitar os danos.
Nesse momento, você constatará que a LGPD não é assunto somente de tribunais ou advogados , ou de como evitar ardilosamente as consequências da falta de providências, mas de gestão empresarial e negócios. Se preferir, ESG (ou ASG, governança ambiental, social, corporativa), como o próprio artigo 50 da lei assim o diz. A propósito, a lei vai pegar, sim. Pode ser que os CPFs demorem um pouco a acordar, mas certamente eles irão. E quando isto acontecer, poderá ser tarde demais para você.
Enio Klein, influenciador e especialista em vendas, experiência do cliente e ambientes colaborativos com foco na melhoria do desempenho das empresas a partir do trabalho em equipe e colaboração. CEo da Doxa Advisers e professor de Pós-Graduação.
