Os últimos dias foram de fortes emoções pra quem atua na área de privacidade de dados. A data de vigência da LGPD permanecia num imbróglio que dividia especialistas, num vai e vem sem fim de possibilidades. Ontem a noite, o Senado num movimento que novamente surpreendeu a todos, deixou de apreciar um item da pauta que prorrogaria a data e bateu o martelo. MP 959 aprovada. LGPD entra em vigência após a sanção presidencial que deve ocorrer em quinze dias. É uma situação completamente maluca, porque por uma série de razões jurídicas e processuais, independente do presidente sancionar ou vetar a lei, ela invariavelmente entrará em vigor e o Brasil passará a ter uma lei de privacidade e proteção de dados, criada aos moldes da GDPR, para regular esse assunto tão importante por aqui.
O problema é que muitos agentes do mercado, agora repetem um comportamento que já ocorreu inúmeras vezes no passado, e intensificam o que eu chamo de "campanha do medo". Ou seja, oferecem seus serviços na área quase com uma arma na cabeça do empresário, dizendo, me contrata agora ou você pode acabar pagando uma multa de 50 milhões, ou já usando como exemplo a "carcaça" de outras empresas que foram condenadas por algum incidente de violação de dados. O modus operanti é manjado no mercado. Quem não se lembra das empresas de software e suas campanhas "Regularize seu software ou sua empresa pode ser multada em até XXX milhões! Ou inúmeros outros casos onde a oferta de serviço já vem acompanhada dos artigos da lei e uma ameaça velada. Na maioria das vezes não passa da famosa "Falácia do espantalho" aplicada no processo comercial.
Bom, uma das vantagens que o modelo operacional diferenciado da CYB3R me possibilita é o de que os interesses da empresa estão SEMPRE alinhados com os dos clientes, ou seja, podemos ir "contra a maré" e ser as pessoas que vão te contar coisas que outros agentes com interesses diretos no caso não irão contar. A CYB3R não é um player de mercado, mas sim uma espécie de "agregador" de players. Ou seja, nossa missão não é atender diretamente você, mas sim garantir que você terá o melhor atendimento, pelo melhor preço, que você não será enganado, entre outras coisas. Para isso compomos projetos que utilizam de milhares de recursos multidisciplinares distribuídos (um bom exemplo é o CYB3R DPO), e atuamos numa camada de abstração do mercado, onde nosso principal objetivo é defender os seus interesses. Entende? Por essa razão, ao contrário das centenas de artigos e matérias que você irá ver a partir de agora, estou aqui pra dar uma de Mister M e entregar "a real" pra vocês. A coisa não é assim tão simples. Não existe razão nenhuma para pânico.
Para ficar claro, note que eu disse que não existe razão para pânico, não que sua empresa não deve se preocupar e/ou levar a sério esse assunto imediatamente a partir de agora, porém nesse artigo vou elucidar algumas razões pelas quais você não deve se deixar levar pelo "canto da sereia" e se obrigar a gastar rios de dinheiro pra implementar o compliance LGPD em tempo record. Até porque a experiência mostra que isso não funciona. A implementação ia sair meia boca e você terá problemas do mesmo jeito no futuro.
1. Aplicação das sanções ocorrerá somente a partir de agosto de 2021.
Sim a LGPD entrará em vigor nos próximos dias, porém as sanções e penalidades previstas na lei, de acordo com o que foi aprovado pelo Senado, entrarão em vigor somente em agosto de 2021. E tem mais. O decreto de criação e estruturação da ANPD publicado hoje de madrugada no diário oficial deixa claro que a aplicação das sanções é de competência exclusiva da Autoridade Nacional de Proteção de dados:
De fato, legalmente, existe a possibilidade de que, partir da vigência da lei, titulares de dados, ou seja, pessoas das quais sua empresa armazena dados, possam pleitear na justiça, seus direitos garantidos pela LGPD, assim como a LGPD passará a compor o arcabouço jurídico que já existia anteriormente com artigos do CDC (Código de Defesa do Consumidor) e Marco Civil da internet, para responsabilizar empresas por conta de vazamentos de dados, então sim, um assunto que já era sério, acaba de ficar ainda mais robusto, porém não existe razão para entrar em parafuso com isso. Simplesmente, caso ainda não tenha iniciado, sua jornada de implementação de processos e controles para tratamento dos dados pessoais, comece a fazer isso, mesmo que internamente, imediatamente!
2. A inversão do ônus da prova
Apesar de muitas vezes ser vendida como uma caça as bruxas, a Lei Geral de proteção de Dados não é nada disso. Pelo contrário, ela foi criada nos moldes da GDPR, legislação européia sobre o assunto, e possui em seu bojo, diversos artigos que deixam claro o objetivo em punir unicamente entidades que não demonstrarem seriedade no tratamento de dados pessoais. Algo que por sinal, entra em consonância com o que já vinha acontecendo nos processos dessa natureza. O famoso incidente com a Netshoes por exemplo, é um caso emblemático. A empresa não foi punida pelo vazamento de dados em si. Mas sim por tentar esconder isso, e não ter tomado as medidas necessárias para evitá-lo.
Obviamente que as chamadas "medidas necessárias" são muito diferentes para por exemplo uma empresa de médio porte e para uma empresa que fatura bilhões por ano. Dessa maneira, sua empresa precisa a partir de agora, simplesmente comprovar que está tomando ações e investindo tempo e dinheiro nesse assunto. Simples assim. Óbvio que se você fatura 3 milhões por ano e investe 5 mil em segurança da informação, você está pedindo pra ser feito de exemplo e é justamente pra esses tipos de caso que a lei foi feita.
A primeira frase do artigo 6º da LGPD diz textualmente:
"As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:"
e depois discorre sobre questões como prevenção, e comprovação da existência de controles e processos com esse objetivo. Ou seja se sua empresa, demonstrar boa vontade, e preocupação em criar processos adequados de armazenamento e manipulação de dados, isso naturalmente será levado em consideração num eventual processo. No atual momento em que vivemos, esse assunto pode eventualmente (e com certa razão) ter parado, ou simplesmente não iniciado em sua empresa. Meu conselho pra você é: comece agora, ainda que devagar e dentro de suas posses, faça o que estiver ao seu alcance para demonstrar que você leva esse assunto a sério
4. Regras diferentes para empresas diferentes
No meio do decreto de criação da ANPD que saiu hoje, existe um item que chama a atenção e reforça meu argumento de ao contrário do que alguns agentes de mercado com interesses financeiros no assunto vendem, a lei absolutamente não é uma caça as bruxas. Veja o que diz o item XVIII do artigo 2º do decreto:
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação possam adequar-se ao disposto na Lei nº 13.709, de 2018;
Ou seja, ele expressamente prevê o que falei acima, que as regras e obrigações para cada empresa, serão diferentes e adaptadas a cada uma de acordo com suas possibilidades. Reforça também algo que tenho dito, que empresas que vendem hoje "Compliance com a LGPD" por enquanto estão vendendo algo impossível de ser vendido, uma vez que a LGPD ainda precisa ser regulamentada e detalhada pela ANPD, e o que temos até agora é meramente um conjunto geral de boas práticas e norte, sem ainda as definições detalhadas de exatamente como isso será aplicado e cobrado de cada empresa.
5. Investimento não significa necessariamente dinheiro
Você certamente conhece a expressão: Tempo é dinheiro! Então sim, sua empresa precisa demonstrar comprometimento e seriedade em relação à gestão do assunto privacidade e proteção de dados, mas isso não significa necessariamente tirar dinheiro de onde você não tem e se obrigar a contratar um projeto de 200 mil reais para uma consultoria realizar isso pra você. Óbvio que como dito acima, se o faturamento de sua empresa permitir/requerer isso, naturalmente esse é um excelente caminho a seguir, porém não se deixe ser praticamente forçado a fazer isso especialmente num momento em que boa parte das empresas enfrenta a maior recessão da história!
Atribua uma pessoa como responsável por esse assunto e invista um valor que você já gasta hoje (afinal você já paga um salário pra essa pessoa) com isso. Aliás, inclusive, contabilize isso. Dedicando um funcionário que ganhe seus 4 mil por mês, considerando os encargos, já estaríamos falando de um investimento na ordem de 80 mil reais por ano. É o suficiente? Provavelmente não, essa pessoa fatalmente irá precisar de ajuda na implementação de uma série de processos, afinal de contas a LGPD é um assunto multidisciplinar que envolve jurídico, tecnologia da informação, compliance, entre vários outros, então você certamente terá que fazer aportes, mas já é um começo entende? Demonstra boa vontade de sua parte em relação ao assunto.
6. Ainda é possível "achatar a curva" do investimento necessário
Uma vez que você leve o assunto a sério e comece a agir em relação a esse assunto imediatamente, considerando que o compliance final e completo precisa estar pronto em agosto de 2021, ainda é possível estar pronto gastando menos. Quem não lembra do controverso gráfico de achatamento de casos do Corona vírus?
A lógica aqui é exatamente a mesma, mas sem o debate político/filosófico/pseudo-científico. Porém o "numero de casos" seria a quantidade de investimento necessário para implementar todos os controles e processos requeridos dentro de sua empresa, e o "tempo desde o primeiro caso" é o tempo desde o início do projeto. Ou seja, uma estratégia, que pode ser o melhor caminho a seguir é começar agora e diluir esse investimento num tempo maior de implementação. Torna o processo menos traumático para todos na empresa e naturalmente sairá mais barato, uma vez que os honorários costumam subir para implementações emergenciais.
Além do mais, eu preciso ser honesto com vocês. Se aparecer um profissional ou empresa, afirmando ser capaz de implementar todos os controles e processos demandados pela LGPD em uma semana, ou um mês, mande ele imediatamente embora e converse com alguém sério. Um projeto dessa natureza levará meses na melhor das hipóteses. Entenda, você precisará executar centenas de ações que incluem desde mapear absolutamente todos os processos que coletam dados pessoais na sua empresa, a implementar controles e processos para governança dos dados pessoais. E isso irá envolver absolutamente todos os departamentos da sua organização. Não é algo simples de se fazer, mas também não precisa custar rios de dinheiro.
7. É possível dar passos essenciais focando aspectos chave
Outro segredinho que boa parte do mercado não irá te contar. Conhece o Princípio de Pareto? 20% das ações produzem 80% dos resultados? Adivinha só, ele vale aqui também, então é plenamente possível executar uma série de ações emergenciais, e conseguir ter rapidamente algo concreto pra apresentar, caso alguma violação ocorra durante o período em que você se dedica a implementar os passos necessários para estar totalmente preparado para as exigências que virão.
No meu próximo artigo, vou entregar de bandeja (e de graça pra vocês) alguns itens vitais pra quem procura um caminho de como começar a enfrentar esse desafio, e precisa construir um "arcabouço mínimo" pra estar preparado, gastando o mínimo necessário.
Spoiler Alert! Comece pelo DPO 😉
Fiquem ligados