Quem participa e tem atuado em processos de adequação a Lei Geral de Proteção de Dados – LGPD, desde a época em que a lei foi publicada (agosto/2018), deve ter acompanhado a sucessão de ondas ou soluções que resolveriam todos os problemas.
A primeira delas foi a óbvia: Essa lei não vai “pegar”.
Com isto, o prazo definido pela lei para que as empresas se adequassem, ou para o início efetivo da sua vigência que era de dois anos, foi quase que solenemente ignorado, tanto que prorrogaram a vigência das sanções por mais alguns meses, e ainda assim, a grande maioria das empresas continuou acreditando que a Lei não iria pegar.
A segunda onda, que ocorreu quase que em paralelo a primeira foi o que poderíamos chamar de corrida para obtenção de consentimento dos titulares, já que isto, resolveria todos os problemas, caso a lei “pegasse”.
Nessa época surgiram até aplicações para o gerenciamento de consentimento que não suportavam nenhuma outra base legal para o tratamento de dados, já que se o titular consentisse, o restante era letra morta na lei.
Esse entendimento permaneceu durante bom tempo, até que começaram a se questionar sobre o seguinte:
E se o titular solicitar a revogação do consentimento, como eliminaremos os dados pessoais?
Além disso, começaram a ser noticiadas sanções aplicadas, com base na GDPR (lei europeia sobre privacidade que serviu de base para inúmeras legislações em outros países inclusive o Brasil), a empresas que utilizaram o consentimento como base principal para o tratamento.
A base para as sanções era, em resumo, a seguinte: O Controlador não realizou uma análise adequada sobre as bases para o tratamento.
https://minutodaseguranca.blog.br/pwc-grecia-recebe-multa-de-e150mil-por-violar-gdpr/
Então surgiu a terceira onda, justificável pelo entendimento de que, em se tratando de lei, o jurídico deveria resolver. Nessa fase, a maior parte dos advogados, até pela sua área de atuação, entendeu que, adequando os contratos das empresas com clientes, fornecedores, parceiros, funcionários, etc., a adequação estava resolvida.
Aí veio a quarta onda, quando uma boa parte dos advogados entendeu que só isso não resolveria, era preciso envolver “o cara de TI” e a lógica era simples: a LGPD trata de dados e a área de TI é a responsável por esse processamento.
Fazia todo o sentido e, acreditavam que agora sim, a questão da adequação estaria definitivamente equacionada.
Ainda assim tínhamos algumas vozes dissonantes (marolas?) que mencionavam outras atividades indispensáveis, como mapeamento de processos e conscientização de pessoas, mas que eram consideradas desnecessárias.
Apesar dessas experiências durante esses anos todos desde a publicação da LGPD e das diversas orientações vindas da Autoridade Nacional de Proteção de Dados (ANPD), uma boa parte das soluções de adequação ainda leva em consideração as ondas mencionadas anteriormente.
O caso mais emblemático dessa situação é quanto a carteirinhas de profissionais de privacidade e certificados de adequação a LGPD, que apesar da ANPD ser taxativa em não reconhecer qualquer documento desse tipo/natureza, ainda assim são oferecidos em profusão, confundindo não só aqueles profissionais que estão atuando na área, mas principalmente as empresas que buscam contratar serviços de adequação, sejam públicas ou privadas.
Quanto às metodologias e soluções que são apresentadas ao mercado, parece que a moda, marola ou talvez uma nova onda sejam as soluções de adequação que oferecem a implantação de um Sistema de Gestão de Privacidade de Dados (SGPD).
É inegável que o SGPD seja considerado um dos “estados da arte” quando falamos em Segurança da Informação e Privacidade, mas essa alternativa para um cenário onde o grau de maturidade nesses temas é incipiente nas empresas, essa solução dificilmente terá sucesso.
A atuação de um consultor, de qualquer área, deve levar em consideração as características do seu cliente.
No caso específico da LGPD a própria lei fala em medidas proporcionais para adequação e a ANPD divulgou orientações a respeito de um outro artigo da lei onde descreve procedimentos simplificados e diferenciados para empresas de pequeno porte (artigo 55).
Ou seja, a LGPD e ANPD reconhecem que para entidades diferentes, as obrigações devem ser diferenciadas.
Estabelecer um modelo, por melhor que seja, como solução para todos, só fará com que as empresas dispendam volumes financeiros e de homem-hora significativos – estamos falando de centenas de milhares de reais – e os resultados sejam quase que insignificantes no médio e longo prazo.
Quando as empresas entenderem que o primeiro passo para uma adequação eficiente é diagnosticar de maneira objetiva o atual estado de maturidade em privacidade e que isso envolverá necessariamente boa parte das áreas da empresa, como RH, TI, Contabilidade, Financeiro, Comercial, Jurídico, Compras, etc., que o suporte da alta direção é indispensável desde o início do processo e que nenhuma empresa de consultoria consegue dimensionar corretamente a quantidade de horas a serem dispendidas em um processo de adequação sem ter o diagnóstico e o entendimento das características do cliente, acredito que teremos uma nova onda no cenário de Privacidade que trará excelentes resultados tanto para clientes como fornecedores.
Enfim, surfar na onda de serviços de adequação a LGPD é uma excelente oportunidade e acredito que nessa onda tenha espaço para todos os bons profissionais, independente de terem ou não carteirinha.