O Brasil não tem cultura de proteção de dados, deixamos tudo para última hora esperando para ver se a “lei vai pegar”. Nós trouxemos como referência para a nossa LGPD – lei geral de proteção de dados, a lei europeia – GDPR, todavia não temos o mesmo amadurecimento sobre o tema que os europeus. Longe disso também, sobre o nosso patamar de educação.
Nós aproveitamos a impressão do contrato, que saiu errado, para rascunho, deixamos documentos de saúde esquecidos na pilha da impressora da Empresa, só amassamos (e olhe lá) documentos com dados pessoais e jogamos no lixo, contas de cartão, consumo, NF e embalagens do e-commerce, com nossos dados, enviamos cópia do cartão de crédito pelo whats, saímos falando em voz alta nossos documentos, endereço e telefone e por aí segue nossas inúmeras práticas do dia a dia, que a LGPD nos obrigada a repensar e corrigir.
As exigências da LGPD trazem mais profissionalismo, responsabilidade e sobe a régua da qualidade. Na minha humilde visão, a LGPD concebe novas oportunidades para aqueles que gostam de ver solução e não dificuldade.
A adequação à legislação pode aprimorar a reputação da Empresa, pois pode ser explorada nas comunicações ao mercado, a fim de reforçar a confiança com o titular da informação. Se for levada a sério, ainda, pode trazer insights para lançar novas ofertas e/ou se repensar no próprio modelo de negócio.
Nas adequações que já realizei, todas tiverem como resultado, otimização, organização e melhoria de processos. A LGPD tira as pessoas da zona de conforto, que fazem o processo no automático. A resposta “sempre foi assim, me ensinaram assim, é assim porque o chefe mandou” é recorrente. Quer ver um exemplo: Título de eleitor. Se forem pesquisar, não há embasamento para a coleta na área privada, mas quase todo o RH coleta sem questionar ou sequer pesquisar para compreender, pois coleta e nunca usa para nada.
São ajustes que poderão ter como resultado a agregação de valor e competitividade a uma empresa. O que a empresa precisa fazer é se adaptar às exigências e norteá-las como um benefício, não como um gasto. A implementação de um plano de conformidade oferece o ensejo de colher bons resultados. Já a não adequação poderá trazer danos imensuráveis à reputação, gerando uma série de custos relacionados à gestão de crise.
Adequando algumas empresas, de diferentes segmentos, há dezenas e dezenas de Operadores (fornecedores) para eu analisar. Neste universo menos de 10 estavam realmente prontos e entregaram prontamente tudo que solicitamos para evidenciar sua adequação. A maioria tenta me vencer pelo cansaço: estão adequados, depois não conseguem apresentar evidências ou apresentam documentos genéricos, desconexos e por fim, entram com mil argumentos para justificar ou invalidar a necessidade de apresentar evidência, ou seja, não levam a sério, nem quando são cobrados sobre o cumprimento de uma lei.
Parece que a maioria que está fazendo a adequação, interna ou com consultoria, pede apenas para o Operador assinar um aditivo, declarando a adequação e pronto – check na adequação de fornecedores. Eu não acredito que isso atenda aos esforços mínimos para garantir que estou compartilhando dados com uma empresa adequada, em especial, quando houver um incidente e ele tenha ocorrido exatamente naquele Operador que só pedi assinatura em um aditivo.
Com a LGPD muda comportamento, cultura, princípios, valores, e valores no sentido amplo, valores de respeito, ética, transparência. Reflita o quanto tem valor os dados pessoais que agora circulam pela rede, ao ponto de tornar as empresas que tratam esses dados negócios milionários (pesquise o produto das empresas mais valiosas no mundo). Por isso também que a adequação, com a visão nos princípios da LGPD, é necessária.
E falando de cultura, não tem como deixar o tema educação de fora, se a Empresa quer levar a sério a adequação da LGPD. Nos processos de adequação, é um tema que venho enfrentando. Enfrentando literalmente, com a resistência das empresas (Operadores, entenda-se fornecedores dos meus clientes de LGPD) para fornecer evidências desse requisito da adequação. Alguns argumentam e pedem embasamento para minha exigência de evidência do treinamento, que ele mesmo declarou ter realizado no aditivo ao contrato de trabalho.
Se a ANPD declara:
“Capacitar e desenvolver o colaborador é prioridade para a ANPD! Para que um órgão público como a ANPD possa ter um corpo funcional qualificado e produtivo, uma das necessidades é a capacitação de seus servidores e colaboradores.
Qual é o entendimento que acreditam que ela terá quando for fiscalizar?
Será que ela irá se satisfazer com um aditivo que o funcionário assinou ou irá pedir evidência do treinamento (que é o que solicito sempre)? Visite o artigo 6º, X da LGPD.
E por último, mas não menos importante, os profissionais precisam levar a sério a adequação. Não adianta o jurídico dizer que está tudo tranquilo, fazendo alguns aditivos ou somente o TI aumentar alguns itens de segurança. A LGPD é multidisciplinar e precisa da empresa inteira envolvida. Mesmo com ajuda de softwares, não tem milagre e não podem se iludir com preços superacessíveis. A adequação não é difícil, mas é trabalhosa.
Para a Empresa que acredita que a “lei ainda não pegou”, veja como está o cenário no Brasil – https://painel.jusbrasil.com.br/#analise , sem considerar Procon, Ministério público, o que já tem de denúncia na ANPD (Autoridade Nacional de Proteção de dados) e no próprio judiciário, ainda em andamento.
Fica a reflexão de todo esse cenário de agregação de valor e seriedade. Com que tipo de Empresas queremos nos relacionar, seja com fornecedores, seja para trabalhar, seja para consumir.
Até a próxima #dosedelgpd
Advogada, DPO por assinatura, Membro da Comissão Especial de Privacidade e Proteção de Dados – OAB/SP, contratos e negociações de TI, Diretora na W&S Central IT – Joinville e São Paulo