Por Luis Eduardo dos Santos Pinto
Desde que entrou em vigor, a Lei de Proteção de Dados - LGDP (Lei 13.709/2018) tem sido amplamente debatida e as empresas têm corrido contra o tempo para estarem em conformidade com a nova legislação o mais rápido possível.
É visível o movimento das empresas nos ajustes de seus processos, na implementação de soluções tecnológicas e na capacitação de seus times para atender as exigências da LGPD. Após concluírem toda essa adequação, as empresas precisarão manter seus Sistemas de Gestão de Proteção de Dados (SGPD) para garantir a continuidade do nível de conformidade para os processos existentes, bem como para o desenvolvimento de novos produtos.
Porém, é fato que para as empresas estarem em conformidade com a nova lei precisam investir em revisão de processos, pessoas, tecnologia e, especialmente, na mudança de cultura em todos os níveis da companhia.
Entendo que algumas empresas ainda não se adequaram à LGPD porque existem desafios diferentes para grupos distintos de empresas. As companhias que possuem processos regulados por exigência do negócio, por exemplo, bancos, indústrias etc, certamente saem na frente, pois, na maioria dos casos, estas empresas têm processos de negócios submetidos a controles e auditorias recorrentes, logo, é razoável pensar que teoricamente terão menos dificuldade em adequar seus processos às exigências da LGPD.
Já as empresas que não possuem exigências regulatórias, poderão ter maior dificuldade e necessitar de mais tempo para se adequar, considerando que sairão do zero, tendo que mapear processos, atender requisitos básicos de segurança da informação. Além disso, a necessidade de manter o nível de conformidade (antes não exigido) pode trazer impactos financeiros nos resultados daquelas companhias que não tinham tal exigência.
Um fator importante a destacar é a necessidade das companhias contarem com um novo membro na equipe, o encarregado de dados (DPO). O mercado está aquecido em função da escassez desses profissionais e ainda há um grande gap entre a demanda das empresas e a disponibilidade de DPOs qualificados.
Vale ressaltar que o DPO é o interlocutor entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD), com o titular de dados, clientes e fornecedores, mas é importante saber que o trabalho é sempre colaborativo entre todas as áreas, em especial jurídico e TI, já que estas duas áreas precisam operar de forma consultiva para as demais áreas da companhia entrem em conformidade com a LGPD.
A Autoridade Nacional de Proteção de Dados é importante porque teremos um órgão regulador que dará as diretrizes a serem seguidas. Não podemos olhar para a autoridade apenas como um instrumento fiscalizador punitivo, mas sim como um órgão consultivo, onde as empresas poderão buscar orientações. E vou além, é necessário, até mesmo como estrutura fundamental para fiscalizar as empresas e garantir que os direitos dos titulares de dados estão sendo respeitados por aqueles que os coletam, processam e armazenam.
A independência da ANPD como órgão regulador, contribui também com a estratégia do Governo Brasileiro junto à Organização para Cooperação e Desenvolvimento Econômico (OCDE), que eleva seu nível de confiança na transformação digital em nosso país.
Luis Eduardo dos Santos Pinto, gerente do TI e DPO da multinacional brasileira Valid