“Empresas precisam fazer uma auto análise para garantirem que estarão em conformidade com a nova lei.”

A Lei Geral de Proteção de Dados (13.709/18), sancionada em agosto passado, só entra em vigor em 2020, mas já é motivo de atenção para empresas que lidam com dados pessoais e estão se preparando para se adequarem à nova legislação. A PGMais promoveu, em Curitiba, palestra com o advogado Márcio Chaves, do escritório PG Advogados e do Peck Sleiman Treinamentos, uma das principais referências em direito digital e proteção de dados do país.
Durante o evento, foram abordadas a aplicabilidade da lei, análise da legislação europeia e brasileira, estatísticas de incidentes de segurança e vazamento de dados, os direitos do titular dos dados, consentimento e a operação e tratamento dos dados por parte dos controladores e operadores. Abaixo, entrevista com o palestrante.

1) O Brasil aprovou uma lei geral de proteção de dados, um marco inédito para o país quando se trata de segurança da informação. As empresas e instituições brasileiras têm consciência do quão sensível é lidar com dados pessoais e estão atentas aos passos que precisam dar para estarem em conformidade com essa nova legislação?

MC- As empresas ainda deixam muito a desejar nesse aspecto porque é cultural. No Brasil, a gente está vendo agora pela primeira vez o surgimento de uma legislação tão completa, tão profunda, tão detalhada, garantindo esses direitos de proteção à privacidade envolvendo os dados pessoais. Nós não tínhamos isso antes. Ao contrário do que acontece conosco, por exemplo, na Europa, o cenário que já existia por lá antes da GDPR – que é a lei europeia com um nível de rigor próximo ao que a gente vai ter agora – era um cenário onde já existia uma diretiva que falava da proteção de dados há mais de 20 anos. Então já havia uma cultura de cuidado em relação a isso. Já existiam leis nacionais que tratavam da proteção de dados em cada estado membro há mais de 20 anos. Aqui no Brasil isso nunca existiu. O que havia era muito arcaico, muito básico, muito aquém do nível de proteção que já existia no cenário internacional, seja na comunidade europeia ou em outros países até mesmo da América Latina. Então as empresas, justificadamente, estão ainda muito atrás nessa percepção de importância da proteção dos dados e do que se precisa fazer para estarem em conformidade.

2) E o que as empresas devem fazer agora?

MC- Precisam começar fazendo uma auto análise, com ajuda de terceiros, um trabalho de mapeamento e levantamento para saber como a sua operação será afetada e o que fazer para garantir que estarão em conformidade com a nova lei quando ela entrar em vigor. Uma vez que a lei é transversal, ela se aplica a toda a empresa, a todos os segmentos, a todas as operações, seja da segurança patrimonial ao RH, do jurídico ao compliance e à TI, todos são diretamente afetados e essa mudança cultural está começando agora. A gente começa a ver esses incidentes de vazamento de informação, ou de aplicação de multa, como sendo um primeiro sinal de alerta para as empresas: há muito o que fazer. Como a lei é geral, ela trata a todos da mesma forma. Cabe a cada empresa entender a sua própria operação para poder dizer: “eu vou me enquadrar na situação A, B, C, D ou E”. E só fazendo esse tipo de análise e mapeamento inicial é que eu consigo definir se eu posso continuar usando determinado dado ou se aquele dado talvez nem seja relevante da forma como imaginávamos. Eu saio de um cenário no qual eu tinha sempre a intenção de coletar o máximo possível, para depois descobrir o que eu ia fazer com aqueles dados, para um cenário diferente, onde eu olho e penso “eu só vou ficar com o dado que eu realmente preciso”. Porque do mesmo jeito que o dado está sendo equiparado ao petróleo, ele também pode ser equiparado a um terreno minado, o petróleo pode ser uma fonte de renda muito boa mas pode representar um passivo enorme. Se eu tenho um dado que não tem o devido amparo legal para utilização, seja simples armazenamento ou até mesmo a eliminação, eu preciso mudar a minha mentalidade, enxergar que isso vai afetar a minha operação e todo o fluxo de vida do dado dentro de casa e em todos que fazem parte desse ciclo de vida, porque envolve toda uma cadeia dentro desse ciclo, do fornecedor, ao cliente e parceiros comerciais.

3) Você acredita que a lei trará impactos positivos para toda essa cadeia?

MC- Com certeza. A finalidade da lei é trazer seriedade para esse momento que a gente vive da sociedade em relação ao uso da informação. A gente via usos dos mais absurdos em relação ao uso da informação sendo colocados de igual pra igual com os usos mais corretos. As melhores práticas sendo executadas ao lado das piores práticas. E a lei quer estabelecer um padrão mínimo de proteção para ficar claro o seguinte: quem quiser lidar com dado pessoal vai ter que seguir as regras. Se você não seguir, existirão penalidades severas que vão te tirar do negócio. O mais importante é isso, todos terão que seguir. Se você não seguir, você está fora do negócio. Automaticamente você vai ser isolado. A lei é extremamente benéfica nesse aspecto. Acredito que vai trazer um nível de profissionalismo muito grande para as empresas como um todo. Vai tirar os maus empreendedores do jogo, que só não estão sendo penalizados ainda porque a legislação ainda não está em vigor mas que sabem que se ainda não é ilegal é pelo menos imoral e que promovem uma competição desigual no mercado.

4) A lei só começa a valer de fato em agosto de 2020, mas o trabalho que precisa ser feito para que as empresas se adequem exige tempo. É preciso estar atento a isso?

MC- Temos pouquíssimo tempo se formos pensar que as operações das empresas são variáveis. A lei é pra todo mundo, desde uma pequena empresa, com um pequeno ciclo de vida do dado pessoal, até uma grande corporação com ciclos quase infinitos. Então o tempo que temos pela frente pode ser considerado extenso se a sua operação é minúscula, mas vai exigir muito, trazendo um grande impacto financeiro e operacional, às vezes de difícil implementação se a sua operação for maior. Tem que investir na contratação de ferramentas, tem que investir na revisão de processos, na criação de novas normas, novas políticas e numa mudança de cultura. Não se muda a cultura do dia para a noite. Tudo isso exige tempo, conhecimento e investimento. Então é preciso atenção à questão e mãos à obra.