Sancionada em 14 de agosto de 2018, a Lei Nº 13.709, conhecida como Lei Geral de Proteção de Dados, vai entrar em vigor no Brasil em 2020, 18 meses após sua publicação. Apesar de parecer longo, esse intervalo precisa ser o suficiente para que as empresas se adaptem às novas obrigações referentes ao armazenamento, uso e proteção de dados.
O processo é repleto de desafios. Primeiramente, há aqueles relacionados à própria adaptação, que envolve novas demandas, cuidados e tecnologias que devem ser implementadas — e bem utilizadas — no seu negócio.
Mas há também as questões resultantes do fato de que a fiscalização da Lei ainda está cercada por dúvidas e pontos em aberto, que alcançam também a população.
Nesse contexto, preparamos este post para que você possa entender quais são os desafios nos quais sua empresa deve prestar atenção especial nos processos de implementação da LGPD. Acompanhe!
1. Falta de confiança dos brasileiros na Lei
As fraudes e roubos de identidade são frequentes no Brasil e, não à toa, 76% dos brasileiros se preocupam com roubo de identidade, enquanto 75% temem fraudes bancárias. As informações são do Unisys Security Index de 2018.
Por outro lado, o estudo também descobriu que os entrevistados estão abertos ao uso de tecnologias para aprimorar e facilitar a verificação de identidade, como a biometria.
Assim, percebe-se que, ao mesmo tempo em que há uma grande preocupação sobre o que é feito com os dados pessoais, os indivíduos mostram-se favoráveis a um bom uso de suas próprias informações, desde que percebam valor e segurança por trás disso.
Mas eles ainda não acreditam que a solução está na LGPD. A maioria dos entrevistados (58%) diz não estar confiante que a Lei vai trazer os avanços necessários para proteger os dados pessoais armazenados e utilizados por empresas. Apenas 9% das pessoas afirmam estar muito confiantes com as possibilidades da LGPD.
Diante desse cenário, também é responsabilidade das organizações mostrar que a Lei pode fazer a diferença e que as empresas vão segui-la devidamente.
2. Importância do consentimento e da transparência
A segurança proporcionada pela LGPD ao indivíduo é embasada principalmente no consentimento e na transparência, que devem ser impreterivelmente oferecidos ao usuário detentor dos dados utilizados e armazenados.
Apesar de ser um desafio, pois exige um cuidado intenso e contínuo, trata-se de um passo fundamental não apenas para obedecer a LGPD, mas para oferecer uma experiência mais eficiente e alinhada com as expectativas e necessidades do cliente final.
Em relação à transparência, especialmente no início da vigência da Lei, é imprescindível deixar claro para o cliente quais dados estão sendo colhidos dele e como serão utilizados. É preciso listar, ainda, a quais pontos do serviço ou produto ele não vai ter acesso caso se recuse a compartilhar determinadas informações com sua empresa.
Renata Feijó, diretora jurídica do GuiaBolso, destaca que, “nesse momento de adequação [à LGPD], não adianta informar só nos termos de uso”. Apesar de ser um documento de leitura obrigatória, o mais importante dentro da Lei é a clareza. Sendo assim, é preciso deixar essas considerações o mais simples e acessíveis quanto possível.
A importância da transparência é reforçada pelo fato de que, diante de um vazamento ou outro incidente de segurança, a ampla divulgação do acontecimento em meios de comunicação é um dos fatores analisados para determinar as sanções aplicadas à empresa.
3. Ausência de perspectivas para uma autoridade regulamentadora
O texto da LGPD menciona diversas vezes uma autoridade regulamentadora. Ela agiria em casos de violação da Lei, analisando o ocorrido, determinando meios de a empresa corrigir o que aconteceu e aplicando as devidas multas. Entretanto, a criação dessa autoridade foi vetada e, até então, não há previsão para que tal órgão seja instituído.
Durante o idsummit, Cristina Sleiman, presidente da Comissão de Educação Digital da OAB/SP, apontou esse como um dos maiores problemas para a devida adaptação à Lei. “Enquanto não tem agência, como vai ser cobrado? Quando você não tem o dono da casa, todo mundo cobra e todo mundo quer mandar”, diz ela.
A advogada acredita que, por enquanto, quem vai ficar responsável pela LGPD é o Ministério Público. Entretanto, Cristina defende que ter uma autoridade específica para a Lei é mais seguro. Isso é especialmente verdade no período inicial de sua vigência, enquanto as companhias — e os indivíduos — ainda estarão descobrindo exatamente como a Lei funciona e é fiscalizada.
Para Daniel Arbix, Legal Director do Google, algumas empresas terão dificuldade em estabelecer um significado para “muitos dos pontos que estão em aberto” no texto. Mesmo assim, é fundamental entender que “a falta de uma autoridade específica não exime de responsabilidade”, como destaca Cristina Sleiman.
4. Necessidade de comprovar todo o processo
A LGPD reforça a necessidade de registrar detalhadamente tudo o que é feito com os dados de um indivíduo, incluindo as medidas de segurança tomadas para protegê-los.
Em casos de vazamento ou outros problemas, o que foi/vai ser feito para contornar a situação e garantir que não acontecerá de novo será um dos fatores determinantes para a decisão de qual vai ser a multa cobrada da companhia.
Após incidentes de segurança, os riscos relacionados ao ocorrido e até mesmo os motivos da demora na comunicação do fato, se ocorrer, devem tornar-se públicos. Portanto, tudo isso também deve estar devidamente registrado.
Além disso, o próprio indivíduo passa a ter o direito de pedir determinadas informações por parte do controlador (a empresa que usa e armazena os dados do cliente). A qualquer momento, ele pode solicitar o acesso, a correção, a anonimização, a eliminação ou a portabilidade dos dados dele, entre outros pontos.
Sendo assim, a empresa deve estar pronta para fornecer essas informações sempre que forem solicitadas. Isso exige que você saiba exatamente onde estão e quais são os dados de cada indivíduo.
5. Implementação de processos e procedimentos para seguir a Lei
Como fica claro diante dos desafios apresentados até agora, seguir devidamente a LGPD e preparar a empresa para as demandas da Lei exige a implementação de diversos novos processos e procedimentos dentro da empresa.
Esses esforços serão diários e devem alcançar cada colaborador, e não apenas aqueles diretamente envolvidos com a segurança de dados. Mesmo quem não vai atuar com os processos da Lei deve entender seus pontos principais.
Nesse sentido, o artigo 49 da LGPD recomenda a implementação de um programa de governança em privacidade. Ele deve demonstrar o comprometimento da empresa na adoção de processos e políticas internas assegurando o cumprimento da Lei.
A Lei destaca ainda que o programa deve ser “aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta” e “adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados”, entre outros pontos.
A Lei Geral de Proteção de Dados traz diversos novos desafios e cuidados para o dia a dia das empresas. Entretanto, é importante entender que a LGPD foi criada com base em tendências mundiais (como a lei britânica General Data Protection Regulation) e em preocupações já existentes na sociedade. Por isso, seguir a Lei e preservar o consentimento, a privacidade e a proteção de dados pessoais é fundamental.
Entretanto, sua empresa não precisa fazer tudo isso sozinha. Converse com um de nossos especialistas e descubra como podemos ajudar com nossas soluções automatizadas!