*Por Marcos Sêmola
Desde o início deste ano de 2020, os impactos trazidos pela crise gerada pela pandemia da Covid-19 atraem praticamente toda a atenção de pessoas e empresas. Em função disso, muitos assuntos igualmente importantes passaram à margem do debate e do entendimento. E um deles certamente é a Lei Geral de Proteção de Dados (LGPD), que finalmente entrou em vigor em 18 de setembro.
Vou contar brevemente aqui uma história que ajuda a entender a relação entre a crise que o Brasil vive neste momento e a LGPD. Em resumo, a lei reconheceu direitos dos cidadãos sobre a privacidade, e as empresas terão de adotar medidas que legitimem o tratamento de dados pessoais e respeitem esses direitos. É uma decisão particular de cada negócio conhecer a exposição ao risco de inconformidade e priorizar as medidas de adequação.
Para poucos, nem a pandemia serviu para tirar o foco da LGPD
Para começo de conversa, digo que é preciso ter uma visão ampla, holística e integrada do que seja afinal a nossa LGPD. A definição é muito simples: a privacidade é um direito constitucional. A partir da entrada em vigor da lei, os cidadãos brasileiros asseguraram a garantia fundamental da inviolabilidade da intimidade e da vida privada. É algo já presente em mais de 80 países, como Argentina, Canadá, muitos da Europa, e também o estado da Califórnia (EUA). A empresa de pesquisa e consultoria Gartner estima que, até 2023, mais de 65% da população mundial estará coberta por uma legislação específica de proteção à privacidade individual.
Isso mostra que o mundo acordou e percebeu que os dados pessoais pertencem aos cidadãos e que são apenas custodiados pelas empresas, não sendo de fato propriedade delas. Às organizações cabe fazer uso dessas informações com responsabilidade, observando as bases legais apropriadas para legitimar os tratamentos de dados com finalidades claras e inequívocas. Na prática, a relação comercial e de confiança entre empresas e cidadãos passa a ter um limite legal, não podendo ser infringido em nome de interesses do negócio.
A lei brasileira se espelha no General Data Protection Regulation (GDPR), que foi aprovado em 2016 e entrou em vigor em 25 de maio de 2018. Em agosto daquele mesmo ano, o Brasil também criou a sua legislação, prevendo a vigência para dois anos depois, portanto, agosto de 2020.
No entanto, por força da crise gerada pela pandemia, foi tirada a atenção das empresas para essa questão. A isso se soma a cultura latina em geral, e do brasileiro em particular, que tende a reagir a um problema, em vez de atuar preventivamente. Para contribuir, nosso Legislativo, por meio de diversas medidas, propôs o adiamento da vigência da LGPD, o que provocou um cenário de insegurança e de descrença sobre a entrada em vigor da lei e sua efetividade.
Assim, poucas empresas se prepararam de fato para a mudança de costumes, o que implica na capacidade de tratar e atender os direitos dos cidadãos a respeito de privacidade. Mas nem todos somos iguais. Preciso fazer uma distinção e dividir as empresas brasileiras e seus líderes em três grandes grupos.
O primeiro é de fato esse, que se alimenta da descrença e da não previsibilidade.
Mas há também aqueles que, por força desses vetores que adiaram a lei e que empurraram para 2021 as penalidades decorrentes dela, torciam para que houvesse postergação. São em sua maioria organizações muito sensíveis à crise e que, por razões legítimas, estão agora botando toda a sua energia – de tempo e de capitais humano e financeiro – para garantir sua sobrevivência. De uma forma geral, numa situação típica de crise todos os recursos se voltam para garantir a sobrevivência, e não se presta atenção aos pormenores senão na manutenção dos sinais vitais.
E qual é o terceiro grupo? Felizmente existem empresas neste grupo no Brasil. Maiores ou menores, são aquelas que não foram tão afetadas pela pandemia de maneira a comprometer sua sobrevivência e que também reconhecem a obrigatoriedade de garantir o direito à vida privada do cidadão. Estas não se descuidaram e vêm investindo no compliance da LGPD na busca por construir uma relação de confiança no seu ecossistema.
Elas enxergam nesta lei exatamente uma oportunidade e um caminho para fortalecer a relação de confiança com clientes, funcionários e parceiros de negócio. Foram capazes de criar projetos para lidar com a nova realidade legal, assegurando a capacidade de identificar os riscos de privacidade, tratar tempestivamente os requerimentos e direitos dos titulares e também, de maneira dinâmica, responder a qualquer solicitação relacionada à privacidade e à LGPD, como as exigências vindas da Autoridade Nacional de Proteção de dados (ANPD). Estas empresas já estão à frente das demais. Desenvolveram a sensibilidade de projetar o futuro com base em decisões de negócio plantadas no presente.
“O líder de uma organização próspera precisa envolver habilidades que lhe concedam a compreensão holística e integrada dos vetores de risco, para que possa tomar decisões assertivas e tirar proveito de toda oportunidade por trás de uma crise.“
Um marco para o Brasil
A LGPD é um marco para o Brasil, é realmente algo memorável, como lá atrás foi o Código de Defesa do Consumidor. Este também pode ser conhecido como o ano em que o Brasil parou para perceber que estamos dando pouca atenção aos dados que nos pertencem, e que as empresas talvez estejam fazendo mau uso deles, do ponto de vista de tratamento dessas informações. Mas é preciso que haja o entendimento de que, apesar do alto valor dos dados, a extração deles por parte das empresas precisa estar orientada pelo bom senso e limitada ao perímetro no qual começam os direitos de privacidade do cidadão.
Para finalizar, recorro à analogia de que a preparação para atender às demandas da LGPD é similar à edificação de uma ponte, que vai transportar pessoas de uma margem do rio à outra. Portanto, recomendo que as empresas saiam da inércia e comecem a construi-la, ou acelerem sua conclusão o quanto antes. Simbolicamente, essa ponte, mesmo rústica no primeiro momento, representará a capacidade da empresa em transpor os cidadãos de uma margem à outra, saindo de um ambiente sem regras e respeito à privacidade, para aquele onde as regras estão claras e a intimidade individual é preservada.
Construam essa ponte, ainda que usando recursos escassos disponíveis, e, gradualmente, aprimorem a sua estrutura. O que não se deve fazer é ficar inerte ou mesmo perder o foco do propósito da lei, planejando uma megaponte. Isso apenas tomará tempo demais e talvez nem seja concluída por falta de recursos ou, no final, acabe ligando o nada a lugar nenhum.
Então, que seja assim: pense grande, mas comece pequeno e agora.
*Marcos Sêmola, CISM®, CDPSE®, PCI-DSS®, EXIN PDPP® e ISO27K®LA, Sócio de Cybersecurity da EY
*Este artigo de autoria de Marcos Sêmola é a extração de fragmentos do livro Reflexos da Pandemia, Editora Global Partners, 2020.
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software
PT 
EN 
