LGPD: Seis anos de lei sancionada e seis lições aprendidas
O dia 14 de agosto de 2018 entrou para a história como um marco na luta pela proteção das informações dos brasileiros.
O dia 14 de agosto de 2018 entrou para a história como um marco significativo na luta pela proteção das informações dos brasileiros. Nesta data, a Lei Geral de Proteção de Dados (LGPD) foi sancionada, estabelecendo um novo padrão para a forma como as informações pessoais são tratadas no Brasil. A LGPD, cuja sigla se tornou uma referência constante nas discussões sobre negócios e regulamentações no país, trouxe uma abordagem mais rigorosa e detalhada para a proteção de dados pessoais. Desde então, a lei tem sido uma presença constante nas mesas de negociação e planejamento de empresas, exigindo uma adaptação abrangente às novas normas.
Dois anos após sua sanção, em setembro de 2020, a LGPD entrou efetivamente em vigor. Esse momento marcou uma transformação profunda no comportamento do ecossistema corporativo brasileiro. As exigências e conceitos introduzidos pela LGPD passaram a influenciar não apenas as operações diárias das empresas, mas também a maneira como elas interagem com seus clientes e parceiros de negócios. O impacto foi profundo, modificando a forma como as organizações tratam e protegem as informações pessoais, e criando um novo paradigma de responsabilidade e conformidade no ambiente de negócios.
Ao se completarem seis anos desde o início desse processo, já é possível refletir sobre o impacto da LGPD e extrair lições valiosas sobre a relação das empresas com a legislação. Esses seis anos foram um período de aprendizado e adaptação, e as lições aprendidas até agora ajudam a entender melhor a importância da conformidade com a LGPD e a evolução das práticas de proteção de dados.
1. O primeiro entendimento é que a LGPD superou aquela máxima incorporada ao inconsciente coletivo brasileiro de que neste país “existem leis que pegam e outras que não pegam”. Seja pelo caráter fiscalizatório e punitivo, seja pela dificuldade em realizar negócios encontrada por quem se recusa a levar o assunto a sério, não resta nenhuma dúvida sobre o fato de que a conformidade com a LGPD impacta diretamente a continuidade de negócios.
2. O segundo ponto de consenso é que a tarefa de designar o DPO, ou a pessoa que será encarregada pelo tratamento dos dados, apesar de muitos acharem que resolve todos os problemas, é somente uma das exigências da lei e não a única. A regulamentação recente da LGPD inclusive deixa claro que esse profissional deve orientar e recomendar com base em conhecimento técnico para que a organização tome as decisões no sentido de cumprir um programa de governança e adotar boas práticas para que ela seja efetiva no respeito ao direito constitucional de privacidade de dados de todas as pessoas físicas, mas ele não será responsável por fazer isso tudo sozinho.
3. Ainda sobre esse tema, o terceiro ensinamento é que não existe DPO NATO, ou seja; para atuar de forma condizente com as responsabilidades de um encarregado de dados é necessário estudar muito, incluindo no currículo certificações importantes como EXIN e IAPP que são essenciais para quem deseja atuar na área.
4. Não existe conformidade da LGPD sem Governança em Privacidade e Proteção de Dados. Este ponto foi reforçado por exemplo pelo episódio das sanções impostas à Meta pela ANPD ainda neste ano. Estes pequenos arranhões na imagem dessa organização icônica provaram que as empresas precisam ser orientadas de que não basta fazer ajustes pontuais apenas em alguns processos. A lei determina que desde a fase de planejamento de um determinado tratamento de dados os ajustes já precisam ser observados. Então, quando acontecem problemas como os detectados neste caso, significa claramente que a empresa está falhando profundamente na governança da privacidade e proteção de dados.
5. Os prejuízos financeiros decorrentes da inconformidade, extrapolam as sanções previstas no texto da lei. Na maior parte dos casos a multa acaba sendo o menor dos problemas já que a perda da credibilidade no mercado tem um fator negativo muito mais perverso para a continuidade dos negócios. Isto sem falar que seis anos depois da promulgação, já se tornou praticamente impeditivo a concretização de negociação sem que todos os lados envolvidos consigam apresentar projetos consistentes de busca pela conformidade com a LGPD.
6. A sexta e conclusiva lição destes primeiros anos de LGPD é que o barato sai muito caro! E este item não precisa de mais explicações.
