Divido um artigo muito interessante do Diego Gualda, que é head da área de tecnologia do Machado Meyer advogados publicado no Estadão, onde traz um guia simplificado e objetivo de pontos da lei que merecem atenção dos gestores jurídicos.
Lei Geral de Proteção de Dados: plano de viagem para gestores
Com a temporada de adequação à Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n.º 13.709/2018) aberta e reforçada pela criação da Autoridade Nacional de Proteção de Dados (ou ANPD, por meio da MP n.º 869/2018), gestores e organizações estão sendo bombardeados com uma infinidade de informações e discussões entrecruzadas que podem ser de pouca serventia caso não tenham o mindset e o plano de viagem adequados. O que vai sugerido nas próximas linhas é um plano de viagem inicial sobre como encarar a LGPD do ponto de vista das organizações.
O que temos hoje, a rigor, é o texto normativo relativo à disciplina de proteção de dados pessoais. Existe, no entanto, uma diferença importante entre texto normativo e norma jurídica. A norma jurídica corresponde à interpretação sistemática do texto normativo em seu contexto. Ela emerge da operacionalização do texto normativo pelas instituições dentro do quadro sociocultural brasileiro. Dado esse contexto, prudência parece ser a palavra de ordem. Ainda não há clareza nem sobre como a ANPD irá regulamentar pontos relevantes da lei, nem como a mesma será recepcionada e tratada pelo Judiciário.
Por tudo isso, os gestores precisam manter a atenção voltada para ambos os ambientes de influência relevantes: o interno à organização, relativo à estratégia, estrutura, processos, pessoas e habilidades; e o externo, que diz respeito aos principais stakeholders que se relacionam com a organização. Serão necessárias ações e um mindset adequado em ambos os contextos.
No plano interno:
Transversalidade. Todos os negócios serão afetados pelas questões relativas à proteção de dados pessoais, porque em maior ou menor grau, sempre há algum tratamento de dados pessoais no âmbito das organizações e porque a lei segue um princípio de neutralidade tecnológica. Nesses termos, o primeiro trabalho da organização, em especial dos gestores de departamentos jurídicos e de tecnologia da informação, é mostrar e convencer a diretoria executiva de que essa é uma questão estratégica do negócio e, portanto, ela deve ser encarada como um projeto multidisciplinar e estrutural.
Custos. O processo de adequação não será indolor. Mais que o custo financeiro, há um custo menos tangível de transformação organizacional e cultural muito relevante. Os conceitos de privacy by design e privacy by default trazidos pela LGPD exigem que a adequação seja pensada não só no nível do próprio produto ou serviço, mas também do ponto de vista organizacional e procedimental. Estrutura, processos, práticas, políticas e uma cultura pensada para favorecer a proteção de dados pessoais são demandas trazidas pela lei. Não se pode menosprezar, além dos custos financeiros, aqueles menos tangíveis que serão exigidos nesse processo, e o tempo de adequação é exíguo. Isso só faz ressaltar o fato de que o trabalho integrado e multidisciplinar da organização é a maneira mais eficiente de abordar a adequação à lei.
Navalha de Occam. Não se deve expandir a complexidade e as premissas de um problema além da necessidade. Esse princípio metodológico deve ser aplicado no seu planejamento de adequação. Soluções mais simples são importantes para a redução de custos e também são as que melhor abordam os problemas, em especial quando se trabalha em negócios de escala e com processos interdependentes. Comece pelo básico, forme times multidisciplinares e invista em conhecer seu próprio modelo de negócio Entenda quais dados pessoais são processados e mapeie o ciclo desses dados dentro dos processos e da estrutura de sua organização. A LGPD contém em seu art. 6.º um ótimo teste de compliance. Verifique se o tratamento de dados pessoais de sua organização atende aos princípios do artigo e identifique para quais deles a sua situação é melhor ou pior, crie prioridades a partir desse levantamento e trabalhe com um cronograma realista. Esta lei veio para ficar. Nem tudo será resolvido no prazo de adequação.
Accountability. Responsabilização e prestação de contas são um princípio norteador, porque exige que você não só atenda aos demais princípios da LGPD como também seja capaz de demonstrar o cumprimento deles. É importante lembrar que a responsabilização e a aplicação de sanções serão mitigadas pelo princípio de accountability. Presumindo que sua organização terá algum problema com dados pessoais nos próximos anos, a preocupação em desenvolver procedimentos e a documentação correta para demonstrar o cumprimento com a lei pode fazer toda a diferença na imposição de sanções administrativas e nas discussões de responsabilidade civil. Além disso, a prestação de contas é um importante fator de proteção da reputação de sua organização e ajudará em questões não restritas ao plano jurídico.
Há mais perguntas que respostas. O Brasil não tem uma cultura difundida de proteção de dados pessoais. No plano do direito comparado, a legislação brasileira é mais geral e aberta que o GDPR, e, portanto, tem um potencial maior para integração normativa. Não temos uma jurisprudência consolidada sobre esse tema e a ANPD não foi sequer formada. Calma! Isso não é um chamado ao desespero, mas à prudência. Há debates estruturais pelos quais vamos ter que passar. Mesmo sendo um bom texto, a LGPD não está imune a problemas. Por exemplo, há espaço no texto para interpretar as regras de responsabilidade civil de maneiras diversas (objetiva ou subjetiva? Como se dá a solidariedade entre agentes de tratamento?) que terão óbvias consequências para os negócios dependendo do caminho interpretativo adotado.
Conheça o seu negócio. Antes de conhecer a lei é importante ter o diagnóstico do negócio. Embora todos sejam de alguma forma impactados pela LGPD, o nível de impacto pode ser muito diferente em cada caso. Assim, comece por entender qual a relação entre tratamento de dados pessoais e o seu modelo de negócio. Tenha em mente que uma lei como essa terá claros impactos competitivos, favorece quem larga na frente e tem mais estrutura de capital. Pensar em sua posição competitiva também é fundamental.
No plano externo:
Comemorando um empate. Há alguma celebração compreensível pela criação da ANPD, mas é preciso ter consciência de que estamos celebrando um empate. A Autoridade não tem independência substantiva, e a autonomia técnica declarada no texto é muito duvidosa sem orçamento. Sem autossuficiência orçamentária, é preciso ter muito otimismo para acreditar que ANPD estará apta a desempenhar funções de regulação, fiscalização e consultivas a contento. A essa altura, já se deveria ter iniciado um diálogo entre o setor privado e o órgão para dar bom andamento ao processo de adequação à lei. De boa notícia, destaca-se que a MP 869/2018 deu à entidade a centralidade necessária para interpretar as questões relativas à proteção de dados pessoais. Ficou claro que a ANPD é o órgão central de interpretação da LGPD, detém a atribuição da regulação e implementação da lei (poder normativo) e é quem exclusivamente aplica as sanções administrativas previstas na lei.
Judiciário. O tema da proteção de dados pessoais é novo e complexo, e seria importante cobrar dos órgãos responsáveis pela administração do Judiciário um aparato de preparação para os juízes que em breve passarão a julgar casos relacionados. Não se deve subestimar a necessidade dessa preparação. Recente proposta do Conselho Nacional de Justiça (CNJ) encaminhada ao Congresso Nacional sugere como método para ajudar a combater a criminalidade organizada (finalidade da maior urgência) a quebra de criptografia ou backdoors, sede ou representação das empresas provedoras de soluções de mensageria no Brasil e pena de banimento dos serviços em caso de não atendimento. Não menos preocupantes são os precedentes anteriores de bloqueio de aplicativos, como o WhatsApp. Propostas desse tipo, além de desprovidas de efetividade técnica, enfraquecem a proteção de dados e a segurança da informação e terminam por prejudicar a imensa maioria de pessoas que utilizam esses serviços para finalidades lícitas. São medidas que trazem insegurança jurídica e afastam investimentos do Brasil em consequência da justificável desconfiança de possíveis posicionamentos heterodoxos das autoridades locais.
Engajamento. As discussões sobre uma legislação de proteção de dados pessoais remontam pelo menos a 2010, quando o Ministério da Justiça lançou a primeira consulta pública para o anteprojeto de lei. Em um processo com muitas idas e vindas, percalços e fatos relevantes, a baixa participação relativa do setor empresarial marcou as discussões. Esse é um erro que não pode ser cometido novamente. É fundamental que as organizações não se preocupem somente com aspectos internos. O setor privado precisa se articular, desenvolver uma preocupação com o ecossistema e influenciar os atores estatais envolvidos (incluindo a ANPD e o Judiciário) para que a implementação e a regulação da LGPD se deem em termos racionais e possam, de fato, maximizar os dois objetivos externados no texto: a proteção de direitos e liberdades fundamentais, de um lado; e o desenvolvimento social e econômico por meio da inovação, de outro.
Há mais perguntas que respostas. As perguntas que estão em aberto para sua organização também estão postas para seus principais stakeholders. Seus competidores, seus prestadores de serviço, seus clientes corporativos, o Judiciário, o Executivo e as várias agências governamentais que se relacionam com o tema, todos estão em fase de aprendizado. Obviamente, eles encaram o tema da proteção de dados pessoais segundo perspectivas, objetivos e valores próprios. Essa fase é decisiva, pois estabelecerá a moldura e o contexto da lei. Os gestores precisam ter em mente que o processo de construção da lei não acabou e que o engajamento externo é tão importante quanto o planejamento interno de adequação.
Embora não esgotem o tema, as considerações feitas neste texto podem ajudar os gestores a ter um quadro de ação mais organizado para enfrentar os diferentes aspectos da adequação sem esquecer o que importa. Afinal, o cumprimento da lei não é um fim em si mesmo, mas um exercício necessário para assegurar a consecução dos objetivos do seu negócio, algo que sua organização não deve perder de vista nesse processo.
*Diego Gualda é head da área de Tecnologia do Machado Meyer Advogados
FONTE: HTTPS://POLITICA.ESTADAO.COM.BR/BLOGS/FAUSTO-MACEDO/LEI-GERAL-DE-PROTECAO-DE-DADOS-PLANO-DE-VIAGEM-PARA-GESTORES/
Pontos úteis para se começar uma reflexão mais profunda, que considero essencial ser feita logo, pra já, hoje:
Diante de tudo isto, qual será o meu plano de ação para sair da inércia?
Comece hoje, comece já! Amanhã a concorrência será maior…