LGPD: ameaça para uns, oportunidade para outros
Em meio ao caos provocado pela pandemia da COVID-19, a LGPD – Lei Geral de Proteção de Dados emergiu como um desafio adicional para os empresários brasileiros, já fragilizados pela crise sanitária. Diante do desconhecimento, muitos enxergaram a nova lei mais como um obstáculo do que como a oportunidade que ela realmente representa.
Após a fase inicial de ceticismo, onde muitos duvidavam se a lei ‘vingaria’, a LGPD tem ganhado corpo. Um levantamento realizado pela plataforma de jurimetria JUIT revelou que o Superior Tribunal de Justiça, os três maiores tribunais de justiça do país, que são o de São Paulo, o de Minas Gerais e o do Rio de Janeiro, juntamente com a primeira instância do Judiciário paulista, já registraram mais de 14 mil decisões relacionadas à Lei. Além disso, tivemos em 2023 as primeiras sanções aplicadas pela Agência Nacional de Proteção de Dados (ANPD).
A LGPD não surgiu de repente, veio com a Lei 13.709, de 2018, tendo como modelo uma lei europeia implementada antes e que já era tratada como tal em 1995. Desde os debates iniciais, sua formulação, aprovação, prorrogações de prazo até sua entrada em vigor, em setembro de 2020, bons anos se passaram e hoje a legislação reflete não apenas uma resposta às demandas locais por maior segurança e privacidade de dados, mas também um alinhamento com as práticas globais de proteção de dados.
Para os que se anteciparam e encararam o desafio, a LGPD deixou de ser vista como uma caixa de Pandora, transformando-se em uma ferramenta valiosa. Em especial, o setor contábil, que desempenha um papel importante na gestão empresarial devido à sua proximidade com os dados pessoais dos clientes e a responsabilidade que isso acarreta, tem visto na LGPD um meio de fortalecimento da confiança e da segurança.
As empresas que reconheceram o valor e a necessidade de conformidade com a LGPD estão agora colhendo os benefícios, contrastando com aqueles que ainda resistem ou subestimam a importância dessa legislação.
Este caminho de transformação vai além da simples adequação às normas; ele reflete uma evolução rumo à transparência, solidez na segurança dos dados e fortalecimento da confiança entre empresas e consumidores. As organizações que se dedicaram a compreender e a colocar em prática os princípios da LGPD não apenas estarão livres de penalidades, mas também se posicionarão como protagonistas, preparadas para superar as expectativas legais e as demandas de um mercado cada vez mais atento à importância da proteção de dados.
Além disso, a LGPD transcende sua esfera original, fomentando debates em outras áreas, como demonstrado pela recente Lei nº 14.611/2023, que aborda a igualdade salarial. Devemos lembrar ao leitor que os questionamentos não estão pautados na necessidade de igualdade salarial, mas discutem se a obrigatoriedade de apresentação de relatórios salariais não ferirá regras da LGPD, dando publicidade a dados pessoais sensíveis dos quais os empregadores são detentores.
Esse diálogo ampliado sublinha como a LGPD tem sido catalisadora de discussões sociais significativas, assegurando que as práticas empresariais não somente adiram a padrões éticos e legais, mas também contribuam ativamente para a evolução das normas sociais.
Apesar disso, muitos escritórios de contabilidade, apesar de acreditarem estar em conformidade, oferecem aos clientes apenas políticas de privacidade superficiais. A LGPD demanda mais do que isso, sua abrangência requer uma atenção especial a diversas áreas, como direito trabalhista, relações de consumo e segurança da informação.
Já outros questionam a capacidade da ANPD e exercer efetivamente a fiscalização, esquecendo-se que a responsabilidade pela conformidade tem sido, em parte, transferida para os grandes players do mercado. Isso significa que as grandes empresas ficam responsáveis por assegurar que toda a sua cadeia produtiva esteja alinhada à LGPD.
Para todos esses, basta dizer que não é possível ‘tapar o sol com a peneira’. A proteção de dados é agora um direito fundamental e inalienável. Assim, os escritórios contábeis e empresas em geral devem se adaptar, não apenas para evitar penalidades, mas para garantir sua sustentabilidade e competitividade.
O caminho para a adequação inclui várias etapas, desde o diagnóstico de lacunas e riscos até a implementação de políticas específicas e treinamentos recorrentes. O papel do Encarregado de Dados (DPO) é fundamental nesse processo, e sua terceirização pode ser uma solução econômica, especialmente para pequenas e médias empresas.
A título de esclarecimento, é oportuno destacar o que de fato deve ser implementado e adotado pelas empresas, bem como por onde é preciso começar. Desta maneira, sugere-se o mínimo para um bom processo de adequação, qual seja:
1) Realização de uma Avaliação, ou seja, deve-se realizar um diagnóstico para entender quais são as lacunas e os riscos encontrados, que geralmente não são poucos;
2) Após a Avaliação, é importante a elaboração de uma matriz de riscos, que preveja situações cujos impactos e probabilidades representam pouco risco à empresa e à cadeia produtiva;
3) Em seguida, deve-se elaborar um plano de ação, definindo prazos e responsáveis pelas entregas. Dependendo do porte da empresa, orienta-se que seja criado um comitê responsável pela implementação;
4) Elaboração de um Mapeamento de Dados, documento responsável por conter todos os dados, em conformidade com o artigo 37 da LGPD;
5) Adequação Jurídica: deve haver a revisão de todos os contratos com clientes, fornecedores, parceiros e colaboradores;
6) As empresas deverão implementar as principais políticas, com destaque para a Política de Segurança da Informação e a Política de Privacidade e Proteção de Dados.
7) Todos os colaboradores devem ser submetidos a treinamentos recorrentes, em prol de conhecerem todos os cuidados e medidas impostos pela legislação. Sugere-se aqui que os líderes, de maneira geral, tenham treinamentos diferenciados e apartados, uma vez que assumem papéis de gestão e são multiplicadores;
8) Canal de Atendimento ao Titular: deverá ser criado um canal para comunicação com os titulares dos dados pessoais;
9) Em conformidade com o artigo 41, as empresas deverão indicar um Encarregado de Dados (DPO), profissional que será responsável por desempenhar papéis que requerem conhecimentos jurídicos, conhecimento de processos e de segurança da informação.
10) RIPD – Relatório de Impacto à Proteção de Dados Pessoais: por fim, de acordo com o artigo 38, a empresa deverá elaborar o Relatório.
Como se vê, não é uma tarefa simples e rápida, entretanto, não há o que se fazer, senão se adequar e posteriormente colher os frutos desse movimento.
A implementação da GDPR na Europa marcou um divisor de águas. Inicialmente encarada como uma fonte de desafios e apreensões, essa legislação rapidamente se transformou em um vetor de mudanças positivas, promovendo não só aprimoramentos na segurança e na administração dos dados, mas também estimulando uma maior confiança por parte dos consumidores e cultivando um cenário empresarial mais íntegro e protegido. No Brasil, chegou o momento de adotar uma nova postura diante da LGPD. É essencial que a percepção em relação à LGPD evolua além das preocupações com sanções, para valorizar a especialização em conformidade com a lei como um verdadeiro diferencial competitivo no mercado. Essa abordagem redefine a maneira pela qual empresas e profissionais veem a legislação, não apenas alinhando-os com as normativas, mas também oferecendo uma oportunidade de se sobressair em um ambiente cada vez mais atento e exigente quanto à segurança da informação.
Publicado em: 20/03/2024