Por Alle Rebecca Pascuas; Cristina Tuna; Ariel Patschiki; Maria Nuria Pont; Rosangela dos Santos
Somos todos pais de primeira viagem, saindo da maternidade com um bebê e meio pacote de fraldas...
A Lei Geral de Proteção de Dados (LGPD), depois de tantas idas e vindas, nasceu prematura no último dia 18 de setembro. Prematura porque, apesar de ter sido lançada anos depois de sua inspiradora, mais exigente e evoluída GDPR (Global Data Protection Regulation), a LGPD nasceu sem o conjunto de orientações preparatórias necessárias que direcionaria as empresas no Brasil para esse primeiro enxoval da maternidade. Mesmo com sanções valendo a partir de agosto de 2021, o que teoricamente daria um conforto de tempo, ela retroage à Lei do Marco Civil da Internet, que tem artigo de Proteção de Dados Pessoais e foi sancionada pela então presidente Dilma Rousseff em 2014, e ao Código Civil. Em outras palavras, muita coisa já está valendo na prática.
De forma resumida, o processo regulatório na Europa atravessou algumas ondas de instruções determinadas pelo governo às empresas, resumidas abaixo:
Onda 1 – Bancos de dados com informações de pessoa física devem ser enviados e registrados no governo.
Onda 2 – Bancos de dados não devem ser mais enviados. O governo estipulará e enviará critérios de gerenciamento e proteção a serem implementados pelas empresas.
Onda 3 – Diante da complexidade de fiscalização à distância por parte do governo quanto à fiel implementação dos critérios, as empresas devem garantir que os usuários consintam previamente, em termo específico, com a utilização de seus dados pessoais.
Onda 4 – O consentimento do usuário quanto à utilização de seus dados pessoais por meio de termo disponibilizado pelas empresas não é eficiente, pois não há entendimento claro das condições e abrangência do uso.
Onda 5 – Os padrões de privacidade de dados serão implementados de forma customizada, by design ou by default.
Onda 6 – Período que estamos vivendo, bem representado por The Social Dilema.
Não se iluda com agosto de 2021 e nem com o valor nominal da multa
Apesar do prazo de quase um ano para o início das sanções administrativas, o Ministério Público já moveu a primeira ação com base na LGPD! A ação foi extinta três dias depois, por ausência de interesse processual, mas foi uma demonstração do apetite da máquina regulatória.
E o Marco Civil da Internet e o Código do Consumidor entregam precedentes para a fiscalização e punição do governo. Facebook, Decolar.com, Netshoes, Azul, Rappi e Drogaria Araújo foram alvos desse movimento de fiscalização anterior à LGPD, com multas variando de R$ 6,6 milhões a R$ 7,9 milhões.
De fato, o grande holofote recairá sobre as empresas em que o core do negócio depende de grande volumetria de dados pessoais. Recaem por aí os casos das empresas acima e dos setores de telecomunicação, financeiro, energia elétrica e varejo eletrônico, por exemplo.
E a multa é o menor dos prejuízos. Avalie a consequência muitas vezes fatal da eventual paralisação do negócio, dos danos à imagem e à perda de consumidores.
Segundo Gilberto Martins, advogado especialista em Direito Empresarial e Tecnologia entrevistado para este rtigo, num panorama geral, as organizações de origem europeia estão melhor preparadas para esse movimento regulatório, pelo fato de terem suas matrizes estruturadas no GDPR.
Martins também aponta que não há no Brasil um diagnóstico claro do status atual dessas organizações, nem do trinômio entre custo, execução e prazo para a adaptação à LGPD, mas o sinal amarelo já está aceso.
A LGPD em pílulas
Trata-se de uma lei que protege a pessoa física e seus dados identificadores. A LGPD busca regulamentar o uso de dados pessoais por meio de regras claras para a sua coleta, armazenamento e compartilhamento.
Apesar de existirem reflexos em contratos e relações da empresa com seus colaboradores, o maior desafio está na relação com consumidores.
Os dados pessoais só podem ser usados com a finalidade estrita previamente declarada em detalhes e consentida pelo usuário.
A LGPD é uma parametrização positiva para o futuro
A verdade é que o mercado não está preparado para entender e definir a estratégia mais apropriada para cada realidade empresarial, seguida de suas forças tarefas prioritárias.
A atenção dos conselhos de administração e da alta gestão deve estar voltada a alguns pontos que precedem qualquer “corrida ao ouro” da proteção dos dados.
- Entendimento da lei à luz da realidade da empresa e do gap entre o status atual e seus elementos identificados como críticos para a adaptação à lei.
- Definição do Road Map e dos especialistas que vão liderar o assunto, validando a eventual necessidade de recursos externos.
- Estabelecimento de metas e prazos, além de monitoramento das externalidades que afetem o Road Map. É um assunto novo que pode ter mudanças e eventos importantes.
- Criação do posicionamento de comunicação da empresa com seus consumidores, que se apropriará desse movimento ético e transparente da proteção de dados, engajando pessoas e consolidando seu propósito.
Quando a LGPD abre alas para um novo organograma
A LGPD vai dar trabalho também ao RH. Quem vai ser o DPO da sua empresa? O Data Protection Officer é o cargo que surgiu na Europa a partir da criação da GDPR e já chegou ao Brasil com a LGPD. Várias organizações estão aguardando para ver como será o enquadramento dado no país. Aparentemente, o volume de dados e o porte da empresa serão levados em consideração para a exigência legal de um DPO. Mesmo que sua contratação não seja obrigatória, cabe pensar se ela não é desejável.
Pode-se dizer que o DPO é um amálgama de três áreas organizacionais. Entender o potencial desse híbrido de funções permitirá um processo mais eficiente. Ele é a figura que dá ao conselho a chance para discutir a nova arquitetura organizacional, que será responsável por esse cruzamento entre tecnologia, jurídico e consumidor. Cada setor tem seu peso de DPO e percentuais distintos entre as três chaves.
O copo da inovação está meio cheio
Pensando na LGPD como organização de dados e com o aumento da maturidade em seu tratamento e armazenamento, abre-se uma porta enorme para aproveitar o blockchain e sobre o presente promissor da transformação digital em setores analógicos ou ainda não integrados.
O conceito ético envolvido é um alento para uma nova reputação de imagem junto aos seus consumidores pela garantia do tratamento responsável e transparente dos dados pessoais. E isso fortifica o relacionamento de confiança entre consumidor e marca. Refletindo sobre um dos trends da Netflix atualmente, The Social Dilemma apresenta a realidade encoberta e velada do uso dos dados pessoais, frente a uma sociedade contemporânea que clama cada vez mais por justiça, pela soberania e pela autenticidade do indivíduo. Isto posto, a LGPD pode inaugurar uma nova fase no marketing das empresas, transparente, corajoso e ousado.
Se por um lado a LGPD traz uma lição de casa árdua para a organização dependente de dados, ela traz também novas perspectivas de relação com o usuário e a sociedade, além de acelerar a sua evolução digital.
Por exemplo, um varejo on-line monomarca que possui alta dependência de dados pessoais terá a oportunidade de reestruturar seu sistema de dados e criar novas perspectivas de interação com o consumidor, e promover a higienização, a qualificação e um conhecimento profundo de suas personas. Podemos inaugurar um momento ímpar de comunicação, materializado por uma tecnologia que cumpre o combinado, com segurança.
E as startups da nova economia? Essas têm a vantagem de começar certo, unindo sua essência tecnológica, ágil e contemporânea com os critérios da LGPD. Enquanto o mercado maduro investirá recursos financeiros, intelectuais e de tempo para uma adaptação sujeita a riscos, as startups estão prontas para o plug-in e têm a chance de já começar interagindo com seus consumidores da forma certa!
A geração do “quer pagar quanto?”
“Não mais usaremos sua intimidade sem que você nos permita.”
Frase forte, mas que centrifuga a LGPD. O extrato é isso.
Imagine se você souber que seus dados, antes usados sem você saber, valem algo. Moeda, benefícios, vantagens, passíveis de leilão. Como o Google Adwords numa nova perspectiva. Quanto mais desejado for seu tracking de vida, maior o valor da compra. Se o processo fosse claro e aceito pelas partes, estaria errado vender fisicamente os dados? Seria uma disrupção dos institutos de pesquisa tradicionais? A eliminação de intermediários? Ligando diretamente a indústria aos seus consumidores, num relacionamento aberto, legítimo, libertador? Fonte de marcas fortes e negócios sustentáveis e éticos?
LGPD ame-a ou aceite-a assim mesmo
Uma coisa é certa: a LGPD veio para ficar. Apesar de uma jornada árida em seu início e carência de apoio jurídico e governamental para que a lei tome corpo, felizes aquelas empresas que se apropriarem disso e estabelecerem com seus consumidores um acordo de propósito.
Volta a questão: toda nudez de dado não autorizada será castigada? Por outro lado, sendo autorizada, poderá ser premiada?
Fonte entrevistada: Gilberto Martins é advogado especializado em Direito Empresarial e em Tecnologia, professor no Brasil e na Alemanha, consultor da ONU para legislação da Internet e de Proteção de Dados Pessoais, mediador e árbitro.