No dia 28 de janeiro, é celebrado o Dia Internacional da Proteção de Dados, data que coloca novamente em foco as questões relacionadas a Lei Geral de Proteção de Dados (LGPD) e suas sanções.
Em entrevista nossa sócia Carolina Mendonça de Barros comenta com a LGPD evoluiu no último ano e quais os principais pontos que as empresas deverão se atentar para adequação a essa lei.
O que podemos esperar da LGPD para 2023 em relação aos negócios do escritório? Comente.
Carolina Mendonça de Barros – “A área de privacidade e proteção de dados pessoais tem crescido cada vez mais e hoje é um dos carros chefes do escritório. Com o avanço das atividades da Autoridade Nacional de Proteção de Dados (ANPD) desde a sua criação, foi ficando mais claro para a sociedade que esse assunto “veio para ficar”, ainda que sua consolidação vá ocorrer com o tempo, a partir do desenvolvimento de uma cultura de proteção de dados, algo que a ANPD teve como foco primordial no seu primeiro ano de funcionamento. As empresas também perceberam que investir em privacidade e proteção de dados traz retorno, e não só retorno reputacional. Traz também uma dinamização maior nos processos, modernização dos produtos (em função da necessidade de desenvolvimento de produtos que estejam adequados com os requisitos do privacy by design, que colocam os direitos e princípios da proteção de dados como centro desde a sua concepção) e aumento de produtividade. Em recente estudo realizado em conjunto pela Cisco e pela CIPL – Centre for Information Policy Leardship (leia aqui) sobre as vantagens para os negócios trazidos pelo investimento em programas de proteção de dados, apurou-se que as organizações estão experimentando uma ampla gama de benefícios ao investir em programas de gerenciamento de privacidade de dados. Isso inclui o gerenciamento de riscos e benefícios de conformidade regulatória, bem como benefícios para utilização de dados para inovação de forma mais eficaz e de acordo com as regras legais. Ficou evidenciado, também, que possuir um programa de gestão em privacidade e proteção de dados consistente traz confiança às partes interessadas, incluindo clientes, titulares de dados/usuários, investidores, parceiros de negócios e reguladores. Além disso, o estudo destacou as empresas podem ter vantagens financeiras substanciais.
Por tudo isso é que temos visto um aumento expressivo da demanda por projetos de adequação à LGPD e consultoria sobre proteção de dados, bem como suporte aos clientes que já se adequaram na sua fase de monitoramento (incluindo apoio a DPOs). Treinamentos e materiais de suporte também têm sido bastante utilizados pelas empresas, e tudo isso demanda auxílio de profissionais habilitados da área. Além disso, acreditamos firmemente que temos um papel a fazer no processo de crescimento da cultura da proteção de dados. Por conta disso, o escritório tem desenvolvido diversos materiais como artigos e e-books que são disponibilizados em nosso site e redes sociais, visando disseminar conhecimento.”
Quais são os principais pontos que as empresas devem se atentar para adequação para 2023?
Carolina Mendonça de Barros – “Nessas alturas, já há alguma expectativa por parte das autoridades que as organizações já tenham ao menos algum conhecimento sobre o tema. A cada regulamentação da ANPD isso vai ficando mais claro. Assim, para aquelas que ainda não deram início aos seus projetos de adequação, agora é hora de fazê-lo. Adiar esse investimento pode gerar muita dor de cabeça até a curto prazo, e é assumir um risco considerável permanecer inativo, em especial na era dos incidentes de segurança, algo que não para de aumentar. Para as empresas que já deram esse passo inicial, é importante ter em mente que um projeto de adequação de certa forma nunca termina, porque uma vez “organizada a casa”, é preciso mantê-la assim definitivamente. A cada nova atividade de tratamento, é necessária uma análise do fluxo de dados envolvidos, a verificação da sua aderência às leis e os riscos envolvidos, entre outros aspectos. Manter os colaboradores treinados, as políticas atualizadas, todos esses aspectos têm ser constantemente cuidados, e as empresas devem buscar desenvolver meios para isso, seja com estruturas de privacidade internas ou externas, ou um misto das duas coisas. Buscar sempre suporte de profissionais especializados é também fundamental.”
O que ainda pode gerar dúvidas na LGPD depois de cinco anos?
Carolina Mendonça de Barros – “A LGPD é uma lei essencialmente principiológica. Dessa forma, muitos pontos precisam ser regulamentos. A ANPD já tomou algumas iniciativas nesse sentido, mas há ainda conceitos e situações que geram dúvidas em função de possibilidade de interpretação ou mesmo ausência de parâmetros em função da falta de vivências anteriores, já que ainda não temos jurisprudências ou entendimentos (esclarecimentos) sobre questões que geram dúvidas na prática. Na União Europeia, por exemplo, onde privacidade e proteção de dados não é assunto novo, além das decisões da Corte Europeia de Justiça, há também as Diretrizes expedidas pelo European Data Protection Board (EDPB, antigo Working Party 29) que são excelentes materiais de consulta e esclarecimentos sobre inúmeros assuntos tratados na lei, sempre acompanhados de exemplos práticos – temas como conceito de controlador e operador, privacy by design, relatório de impacto, DPO, legítimo interesse, consentimento e tantos outros podem ser melhor explorados e compreendidos nesses documentos. No Brasil, esses esclarecimentos serão dados aos poucos, no decorrer dos anos, e será preciso uma certa paciência para termos um arcabouço mais robusto de materiais e regulamentações. A ANPD já publicou alguns guias orientativos buscando auxiliar os agentes de tratamento e demais interessados a entender temas relacionados à proteção de dados, tais como guias sobre agentes de tratamento e encarregado, de segurança da informação para agentes de tratamento de pequeno porte, sobre tratamento de dados pessoais pelo Poder Público, sobre cookies e dados pessoais, entre outros, todos disponíveis no site da ANPD. Sobre esses guias, o escritório também desenvolveu e-books que apresentam o conteúdo de uma maneira simplificada e visualmente agradável.”
Podemos considerar 2023 como ‘o ano da LGPD’, uma vez que a ANPD regulamentará a dosimetria das sanções administrativas?
Carolina Mendonça de Barros – “Tradicionalmente, as organizações tendem a se atentar mais para um assunto a partir do momento em que sabe que, na inobservância das disposições legais, poderá ter que suportar sanções, especialmente pecuniárias. Nesse sentido, é possível que, a partir da regulamentação da dosimetria das sanções, os entes fiquem mais preocupados em dar início aos seus processos de adequação ou melhorar a estrutura que possuem, já que vimos muitas empresas optando por realizar uma parte dos projetos de adequação e deixar o restante para um segundo momento. Para tanto, é preciso que o corpo diretivo das organizações compreenda a relevância do tema e o risco que assumem ao decidir não investir em privacidade e proteção de dados para tomar a iniciativa de ter essa atividade como uma meta central para 2023.”
De acordo com a Pesquisa Nacional de Privacidade e Proteção de Dados, realizada pelo Grupo Daryus, 80% das empresas no Brasil ainda não estão completamente adequadas à Lei. Na sua opinião, quais fatores podem estar envolvidos para esse grande percentual de companhias não aderirem 100% à LGPD?
Carolina Mendonça de Barros – “Como falado, adequar-se à LGPD pressupõe compreender a importância do tema privacidade e proteção de dados pessoais, o que, por sua vez, passa pelo desenvolvimento da cultura de proteção de dados, que se dará aos poucos. Deve-se lembrar, ainda, que o Brasil é um país de padrão continental, e com diferentes níveis de desenvolvimento em cada região. Há locais em que esse assunto está completamente distante, enquanto em outros ele está no centro da pauta. Esse, aliás, é um grande desafio para o Brasil como regra geral, e não seria diferente com uma legislação tão complexa. Além disso, esse processo de adequação legal e construção de programas de gestão em privacidade é custoso, demanda investimento administrativo e pecuniário. Considerando que passamos por uma pandemia que afetou de forma importante diversos setores (como ocorreu em todo o mundo), em meio a um momento político extremamente tumultuado e outras situações complexas que refletiram negativamente na economia, não é surpresa esse número. Mesmo na Europa estima-se que pelo menos 30% das empresas não estão ainda adequadas ao Regulamento (GDPR) e, em diversos países, esse número é ainda superior. Se em um local em que o tema é discutido desde a década de 70 e regulamentado desde 1995, o que não dirá um país do tamanho e com as características desafiadoras do Brasil, com uma crise política e econômica como pano de fundo e com uma legislação nova, ainda desconhecida para uma grande parte das pessoas. Considero isso esperado, e por isso acredito que a mudança será relativamente lenta. O mais relevante, no entanto, é que ela já está acontecendo, a proteção de dados foi reconhecida como um assunto de enorme importância para os cidadãos – tanto assim que hoje é um direito fundamental constitucional, diverso do direito à privacidade – e já possuímos uma autoridade regulatória autônoma e constituída por gente extremamente capacitada, que tem produzido muito e em um curto espaço de tempo. Dessa forma, acredito que esse percentual só tende a melhorar e sou otimista com relação à LGPD.”
