Agosto de 2020 é o prazo para a LGPD entrar em vigor. Apesar disso, muitas questões sobre essa jornada ainda são discutidas pelas organizações: qual o momento que as empresas estão para estar em conformidade com a LGPD? A falta de uma comissão já constituída da ANPD pode impactar na adaptação da lei? Devo contratar o DPO ou promover alguém da equipe? Por onde começar? Qual o papel da Assessoria Jurídica? Esses e outros temas foram debatidos durante a 4ª edição do Security Leaders Recife.
E ainda um novo elemento no cenário nacional gera polêmica: está sob consulta pública o PL 5762/19 que sugere postergar a entrada em vigor da LGPD por mais dois anos. E, apesar de mais de 60% dos votos serem contrário, é incerto quando e se esse PL será aprovado pelo congresso. Enquanto isso, o prazo é agosto de 2020, mas o impacto do adiamento já é visível nas áreas de negócios, enfraquecendo a força das equipes multidisciplinares.
Amalia Camara, professora de Direito Digital da Universidade de Pernambuco, comenta que o PL 5762/19 é bem nocivo para o Brasil diante do cenário internacional. “Do ponto de vista do microcosmo, o cenário é que o País não estará em compliance em agosto de 2020. Sobre a questão de cultura política, tivemos 18 meses de tentativa de adaptação e se adiarmos a tendência é postergar novamente”, comenta.
Paulo Pacheco, IT Security Manager da SEFAZ do Recife, concorda com Amália e diz que segue o cronograma para estar em conformidade em agosto do próximo ano. “Na SEFAZ, temos um programa de privacidade para ser entregue em 2020. As outras secretarias também estão orquestrando da mesma forma”.
O temor do não cumprimento do plano de ação para estar em conformidade gira em torno da aplicação de multas, mas a própria GDPR, quando foi implementada, contava com apenas 20% das empresas em conformidade e a autoridade teve um papel educativo inicialmente. “Espero que o discurso do medo que não seja usado para que a lei seja postergada”, observa Larissa Cahú, advogada especialista em privacidade e proteção de dados do escritório Fonte Advogados.
O fantasma das multas
Sobre o temor da aplicação de multas, Amália reforça que é preciso fazer valer a lei sem o objetivo punitivista. “As leis têm sido pensadas com a cautela de consequência social e a LGPD foi escrita baseada em gradações antes de aplicar multa”, comenta quando adverte aos que ainda acreditam se a lei vai pegar ou não: “o que pega ou não é gripe, lei se aplica”.
A penalidade não deixa de ser uma preocupação. Todos sabem que há muitos escritórios de advocacia preparados para criar esse pânico. No entanto, as empresas devem enxergar como oportunidade de negócios porque muitas delas já têm relações comerciais com a comunidade europeia.
Além disso, o mercado não pode deixar de esquecer que os órgãos de proteção ao consumidor, Ministério Público e outras legislações, a exemplo do Marco Civil da Internet, estão em ação para aplicar multas, como em casos recentes a exemplo da Vivo, Facebook, Netshoes, entre outras empresas.
Apoio técnico
Embora a ANPD ainda não tenha sido constituída com os seus representantes, a recomendação dos especialistas é seguir normas técnicas enquanto não há uma diretriz ou cartilha a seguir. Para pequenas e médias empresas, o risco da insegurança jurídica aumenta.
Amália também aponta como uma boa prática a participação em fóruns de discussão. “Façam o básico, entendam quais são os dados que entram e saem e os que são compartilhados. Sobretudo, lembre-se: a lei já pegou”.
Domingos Sávio de Moraes, líder de LGPD na CHESF, a Lei Geral de Proteção de Dados é muito vaga no que se refere a controles concretos. “Diante disso, estamos usando as normas técnicas do conjunto 27000 para aplicar os controles. A própria Lei diz que a segurança deve seguir as boas práticas e a governança, em consonância com o que as normas técnicas já preveem”.
A figura do DPO
Muitas empresas apostam na figura do DPO interno, elegendo um profissional que já é da casa e lidere o processo junto ao board. Apesar disso, a LGPD abre outras oportunidades como o DPO as a Service. “Vai depender muito do modelo de negócio, tamanho da organização, público alvo, nível de compromisso e conhecimento, entre outros aspectos”, destaca Amália.
Para Larissa, quando se trata da figura do DPO normalmente apontam para o jurídico ou alguém a TI. “Mas é importante ressaltar que o DPO será o ponto focal e alguém mais ligado aos fluxos. Além disso, o operador não faz nada sem a ordem do controlador, que é o CNPJ responsável pelos dados pessoais do cidadão”.
Por onde começar
Apesar de estarmos a menos de um ano do prazo estabelecido para que a LGPD entre em vigor, muitas empresas ainda têm dúvidas por onde começar, quais os passos e o melhor caminho nessa jornada. A maioria dos especialistas orientam as organizações pensarem em pessoas, processos e tecnologia. “O primeiro passo é reunir uma equipe multidisciplinar com diferentes perfis e de distintas áreas. Em seguida, faça um plano de ação para levantamento de diagnóstico”, recomenda Domingos.
Amalia adverte para os casos que optaram em contratar uma assessoria jurídica antes de a empresa fazer o mapeamento dos dados. “Muitas organizações fizeram isso e reclamaram altos gastos, tanto no Brasil quanto na Europa. Essa é uma lei que não é pensada para o jurídico, mas para o jurídico, TI e gestão. A equipe deve pensar em todas as brechas. Esses três pilares irão identificar as falhas, como será desenvolvida a comunicação interna e externa e quais os processos”.
Larissa complementa que a LGPD surtiu um boom no mercado jurídico, onde muitos advogados antes penal ou civil tornaram-se especialistas em proteção de dados. “O projeto é dividido em algumas fases: diagnóstico, nível de maturidade e por último a sua implementação. Iniciem o mapeamento porque ele quem dará o diagnóstico. Toda assessoria jurídica vai pedir o mapeamento dos dados, independente de ter assessores externos para ajudar nisso, as empresas devem fazer a lição de casa”.
Paulo Pacheco comenta que quando o projeto da LGPD caiu em suas mãos, o superintendente da SEFAZ disse que não tinha orçamento. “Desenvolvi um cronograma, já prevendo o jurídico, e acima de tudo tinha que ter o dono do projeto porque a TI é a área meio e quando vou fazer uma entrevista com a área de negócio, tenho que ter esse poder. Então, decidimos quem seria o DPO responsável pelo levantamento dos processos e fazer as entrevistas. Saiu tudo relativamente bem e não precisamos contratar assessoria jurídica. Num segundo momento, que é a implementação do programa de privacidade, pensamos em contratar uma ferramenta específica para fazer a gestão do programa”, ilustra.
