Opinião

Quase um ano de Lei Geral de Proteção de Dados. Temos razões para comemorar?

Autores

27 de junho de 2021, 6h04

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, percorreu um longo e tortuoso caminho desde a sua publicação, em 2018. À época, tudo parecia bastante simples: a lei entraria em vigor 24 meses depois da sua data de publicação, ou seja, em 14 de agosto de 2020, tendo como única exceção as regras que envolviam a criação da Autoridade Nacional de Proteção de Dados, que entrariam em vigor no dia 28 de dezembro de 2018, devido à necessidade de se estruturar o órgão fiscalizador.

No entanto, muitos fatos ocorreram nesse meio tempo, e, entre eles, o mais significativo foi a pandemia da Covid-19, que trouxe muitas incertezas para a adequação das empresas à LGPD. Afinal de contas, seria mantida ou não a data de entrada em vigência para agosto de 2020?

A resposta para essa pergunta não foi simples e a solução dada (depois de um imbróglio político e legislativo) foi que a LGPD entraria em vigor em 14 de agosto de 2020, sendo a única exceção as regras relativas a multas (o temido artigo 52), que entraria em vigor apenas um ano depois. Em síntese, a LGPD é uma lei que "entrou em vigor" em três momentos diferentes: primeiro, a parte referente à organização da Agência Nacional de Proteção de Dados (ANPD), depois, o restante da legislação e, por último, a aplicabilidade das multas (que entrarão em vigor em agosto).

O problema principal desse "fatiamento" (embora compreensível) é que a gestão da entrada em vigor da LGPD foi extremamente confusa para as empresas e para os profissionais da área, sendo a decisão final sobre a postergação da entrada em vigor das multas tomada literalmente semanas antes da data prevista para o seu início. Esse clima de incerteza gera a famigerada "insegurança jurídica", e o que se viu no mercado é que muitas empresas simplesmente optaram por aguardar uma decisão, evitando, assim, esforços e gastos com a adequação.

De qualquer forma, o principal impacto do fatiamento da LGPD é que o mercado assumiu, mesmo sem ser adequado, que o prazo de fato da LGPD é agosto de 2021, amparado no fato de que as penalidades só serão aplicadas nesse momento e, dessa forma, apenas ali que deveriam ser efetuado os esforços.

O problema é que esse enfoque nas penalidades, embora muito compreensível, é pouco abrangente e deixa de lado uma série de questões importantes: a primeira delas é que a LGPD, para ser corretamente implementada, requer mudanças importantes na organização e processo da empresa, e isso vai desde as medidas de cunho jurídico até as ligadas a tecnologia da informação.

A partir da nossa experiência é possível afirmar que um dos principais obstáculos a serem enfrentados pelas empresas é a sua inerente interdisciplinaridade, além do fato de que, em se tratando de um tema novo, é pouco comum que as empresas possuam especialistas internamente para todas as disciplinas. Por exemplo, algumas empresas dão a responsabilidade pelo projeto de adequação ao departamento de tecnologia da informação, outras ao departamento jurídico. No entanto, as informações e competências necessárias para gestão, implementação e acompanhamento desse tipo de projeto tipicamente encontram-se distribuídas em mais áreas.

O resultado disso é que existem esforços "invisíveis" para adequação que vão além do esperado na parte jurídica  não basta apenas criar contratos, políticas e procedimentos (que são essenciais, mas não se sustentam sozinhos), e, ao mesmo tempo, não é só questão de possuir uma infraestrutura de segurança da informação adequada. Ambos esses aspectos são necessários, mas não suficientes para que um projeto de adequação à LGPD seja implementado com sucesso na organização.

Ao subestimar um projeto de adequação à LGPD (e de suas próprias organizações), as empresas estão optando pela estratégia (novamente, compreensível, mas inadequada) de postergar ao máximo sua adequação. Isso só vai gerar projetos não adequados e/ou, mais custos para a empresa, que vai ter que investir esforços e recursos que poderiam ter sido programados em maior tempo em uma janela apertada.

As empresas devem motivar-se a aproveitar ao máximo os esforços para adequação à LGPD. Um resultado muito comum, por exemplo, é que as organizações, depois de passarem pelo necessário mapeamento do fluxo de dados pessoais, reviram seus processos de forma integral, o que permite a melhoria interna da gestão e do compliance de áreas que não são diretamente relacionadas, isso sem contar que as melhorias de segurança da informação são proveitosas para a organização como um todo.

É possível perceber no mercado uma crescente preocupação com o tema e esforços de adequação. As organizações têm se conscientizado de que a LGPD, de fato, será aplicada e de que é necessária. Sua adequação mesmo que tardia é melhor do que uma não adequação. Podemos concluir que esse (quase) primeiro ano de LGPD se mostrou como uma preparação, um despertar das organizações para o tema, e que ocorrerá uma movimentação mais significativa de adequações no segundo semestre. 

Autores

Tags:

Encontrou um erro? Avise nossa equipe!