Para a riqueza não virar multa

Para a riqueza não virar multa
Falta mais de um ano e meio para a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD). Pode parecer muito tempo, mas, pela dinâmica do trabalho que precisa ser feito para que as empresas estejam adequadas à nova realidade, não é  


Datacracy, Data analytics, Data oriented, Data marketing, Data is the new oil... Hoje em dia, parece que tudo gira em torno do poder dos dados.

O sucesso econômico das empresas de mídia social ou mesmo de gigantes de e-commerce, tem muito a ver com a capacidade dessas companhias de capturar dados pessoais e, a partir de uma análise acurada entregar, supostamente, exatamente aquilo que você deseja ler, ouvir ou comprar. De um simples e-mail marketing promocional, ao envio de notícias que poderão influenciar a aceitação ou a rejeição a um determinado candidato, tudo fica mais fácil e assertivo quando se é possível determinar com precisão cirúrgica não só com quem você está falando, mas sobre toda a vida, os gostos, anseios e outras coisas mais sobre aquela pessoa com quem você está falando.

Dados são uma fonte de riqueza para as empresas. E, também, uma fonte de poder. Por isso, é cada vez mais forte o esforço de diferentes países no sentido de regular o uso e a guarda dessas informações por instituições privadas. Daqui para frente, dados pessoais serão para as empresas não só um ativo de alto valor, mas também de alto risco. Como se trata de um daqueles riscos de negócios inevitáveis - afinal, cada vez mais integramos esses dados aos nossos trabalhos -, a única saída é mitigar o risco, dando aos dados pessoais o tratamento e a proteção adequadas.

A entrada em vigor da GDPR, a rígida lei europeia de proteção de dados pessoais, em maio do ano passado, já obrigou as grandes empresas europeias - e todas as multinacionais que operam no velho continente - a adotarem uma série de medidas para garantir a guarda e o uso dos dados de cidadãos europeus dentro das regras da nova legislação, que entre outras medidas, demanda o consentimento da pessoa para certos usos e estabelece limites de tempo de guarda daquela informação.

Agora, o Brasil também conta com a sua própria lei de proteção de dados pessoais, a LGPD. Sancionada em agosto do ano passado, ela entra em vigor em dezembro de 2020. A legislação coloca o País ao lado de mais de 100 outras nações que já estabeleceram suas legislações locais sobre o tema. O seu principal objetivo é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles, com regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações exigindo mais transparência para o uso de dados pessoais e a respectiva responsabilização por esses dados. A legislação também estabelece o princípio da adequação do uso dos dados pessoais com as finalidades informadas, ou seja, os dados só devem ser utilizados para as finalidades específicas para as quais foram coletados e previamente informados aos seus titulares. Por fim, deve ser aplicado o princípio da necessidade, limitando o uso dos dados ao mínimo necessário para o objetivo pretendido, considerando, inclusive, a possibilidade de exclusão imediata dos mesmos após o objetivo ter sido alcançado.

O não cumprimento do que dispõe a regulamentação pode gerar multas de até R$ 50 milhões. A adequação à LGPD demanda muita atenção de todas as empresas, sejam elas grandes ou pequenas. Afinal, qualquer empresa hoje está repleta de dados pessoais. 

Em primeiro lugar, é preciso entender que o conceito de dados pessoais é bem mais amplo do que meramente as informações de identificação objetiva, como nome ou número do documento. Qualquer informação ou conjunto de informações que permitam identificar uma pessoa já é enquadrado como dado pessoal. Num negócio como o de beleza, para o qual informações como tipo e cor de pele e cabelos, por exemplo, configuram uma mina de ouro, tais informações, a depender de como são obtidas, guardadas e utilizadas podem ser consideradas dados pessoais perante à lei. É importante ressaltar que a lei não trata só de dados externos, de consumidores, por exemplo. Os dados que permitem ao RH processar a folha de pagamento, por exemplo, ou mesmo informações referentes a fornecedores e parceiros de negócios, também são dados pessoais, e como tal, precisam receber o mesmo tratamento.

Pois bem, para saber como lidar com os dados pessoais nas empresas a partir dessa nova legislação é necessário saber quais são esses dados, onde eles estão, como são obtidos, guardados e para o que são utilizados.  E aí reside um dos grandes desafios: mapear esses dados e os fluxos nos quais eles estão envolvidos. "Imagina, dentro de uma única área, quantos são os fluxos de trabalho que envolvem o uso dados pessoais? Agora pense que tudo isso precisa ser analisado e documentado", expõe a advogada Camilla Jimene, sócia do escritório Opice Blum, especializado em Direito digital. Trata-se de um processo bastante trabalhoso, que envolve entrevistar todas as áreas da empresa, para entender como cada uma delas obtém, armazena e usa dados pessoais na sua rotina de trabalho.

Por isso, é importante não se acomodar com o prazo para a entrada em vigor da lei. Parece muito tempo, mas, para quem ainda não começou o processo é bom correr. O tempo necessário para a implementação de um projeto de adequação à LGPD costuma levar de seis até 14 meses. Em empresas de maior porte, o tempo mínimo costuma ser de 10 meses. É um processo que, na maioria das vezes, começa do zero, já que não era uma exigência legal e as empresas, ainda que tivessem uma política de uso de dados pessoais, via de regra, não tinham os processos que envolvem esses dados mapeados de acordo com o que pede a nova lei.

O mapeamento de dados é o ponto de partida e a maior dificuldade do projeto de adequação à LGPD. Sem saber quais são os fluxos e como eles funcionam é impossível avaliar a base de dados e os processos que precisam ser estabelecidos para cada situação. "É preciso entender que o RH, por exemplo, pega essa informação pessoal e manda para o e-social porque está cumprindo uma lei; ou o que o marketing se vale daquela informação porque tem um termo de uso num site no qual a pessoa autorizou a entrega aqueles dados para tal finalidade. Tudo isso você só vai saber se mapear corretamente. Qualquer outra coisa é achismo", garante Camilla.

As multinacionais saem na frente
Por estarem expostas a mais legislações, em geral, a algumas mais avançadas ou rígidas que as brasileiras, em vários aspectos - incluindo a questão da proteção de dados pessoais - as companhias multinacionais costumam sair na frente na hora de se adequar a essas novas realidades regulatórias. Um exemplo disso é a companhia de venda direta Avon. A empresa, que hoje tem sede no Reino Unido, está exposta à GDPR, a rígida legislação europeia de proteção de dados pessoais. "A Avon é uma empresa que desde sempre e independentemente do advento de novas leis, leva muito a sério questões de privacidade de dados", lembra Tatiana Alcantra, legal counsel da Avon. Ela explica que, antes mesmo da vigência da GDPR, a companhia já vinha globalmente fazendo adequações aos seus processos e políticas. "Já temos grande parte desse trabalho concluído", afirma. Com a introdução da Lei Geral de Proteção de Dados, todos os processos, sistemas, políticas e contratações das Avon estão sendo revisitados para que todos os pontos da lei sejam atendidos. "No Brasil, um Comitê de Data Privacy com as mais diversas áreas da empresa vem fazendo um mapeamento de todos os dados já coletados e como são tratados, além da aplicação de melhorias em nossos processos e sistemas para atender às exigências da nova lei", explica Tatiana. Segundo ela, o processo deve estar concluído até fevereiro de 2020, bem antes do prazo limite.

Problema transversal
Embora o mapeamento constitua o grande desafio em relação à adequação das empresas em relação à LGPD, é preciso ter em mente que a nova legislação impõe também uma necessidade de mudança, ou ao menos de ajuste, na cultura empresarial no que diz respeito ao uso de dados pessoais nos negócios. É preciso conscientizar todas as áreas da empresa para que todos possam estar na mesma página e, a partir daí engajar as equipes no processo. Esse engajamento é importante para evitar que as áreas achem que as questões da LGPD vão ser resolvidas, automaticamente, pela TI ou pelo Jurídico. O Jurídico, junto ao time de TI, Digital e Vendas são os mais impactados, mas é claro que isso se estende também à outras áreas da empresa, que passarão por adequações. Na Avon, por exemplo, além das políticas globais sobre privacidade de dados, diversos treinamentos foram e ainda são feitos para conscientizar os times sobre a importância desse tema e impactos que ele pode ter no nosso negócio. Tatiana também reforça a necessidade de um trabalho de aculturamento da organização, a fim de repensar a real necessidade de coletar determinados dados.

Uma vantagem é que hoje, as pessoas já tem uma visão mais clara da importância que a questão da privacidade de dados tem hoje na sociedade em que vivemos. Isso faz com o nível de maturidade em relação ao tema seja mais elevado em relação a outros temas de natureza legal. "Na grande maioria dos casos o desafio é fazer as pessoas entenderem qual é a dinâmica da legislação, quais são os princípios e as bases que a norteiam. Mas, quando você mostra explicitamente o tamanho das penalidades, fica bem claro que é algo que exige muita atenção", reforça a sócia do Opice Blum.

Um das disposições da LGPD é o apontamento de um profissional encarregado, o DPO (da sigla em inglês Data Protection Officer). Até por ser um tema multidisciplinar, a medida é importante para evitar, justamente, uma situação onde o problema tem muitos, ou pior, nenhum dono. Apesar disso, o DPO não responde legalmente por eventuais problemas com a aplicação da lei, algo que é de responsabilidade da empresa. A Avon possui um time global, específico para Data Privacy, incluindo um Data Protection Officer. Aqui no Brasil, o departamento Jurídico é o responsável por conduzir esse tema.

O risco nos terceiros
Outro ponto importantíssimo no processo de adequação das empresas à LGPD diz respeito ao compartilhamento de dados ou ao uso de dados por terceiros. A legislação estabelece a responsabilidade solidária. A sociedade digital permite uma economia mais aberta e colaborativa. Mas a conexão em rede de vários agentes traz também um risco sistêmico - em que estando integrados, a falha em qualquer um deles, pode afetar os outros agentes conectados -, aumentando a responsabilidade solidária entre os agentes. Mas, em geral, é sobre as maiores empresas e não sobre as startups que a responsabilidade e os problemas de reputação devem recair. Até porque, em geral, são elas as responsáveis maior pelos dados (ou a beneficiária final do seu uso, caso não seja responsável pela guarda deles).

Na Avon, parte do trabalho de mapeamento de riscos envolve os fornecedores da companhia. "Hoje, todo novo fornecedor que tem acesso a informações pessoais passa por um processo de due diligence específico, além de firmar um compromisso contratual que garanta, no mínimo, as mesmas condições de segurança da informação que a Avon adota", conta Tatiana Alcântara. Camilla explica que é preciso que as empresas entendam muito bem como esses parceiros, que eventualmente vão usar dados pessoais em ações que envolvam a empresa. Para a advogada, esse é um processo que deve evoluir naturalmente. "Hoje, dificilmente uma empresa faz negócio com a outra sem que esta garanta que está em conformidade, que não usa trabalho escravo, que não pratica corrupção... Agora, todo mundo vai exigir dentro da sua cadeia de valor que os dados pessoais estejam recebendo o tratamento adequado perante a lei", reforça.
}

Comentários ()

Blogs

Tags