Um alerta necessário sobre a Lei Geral de Proteção de Dados

Passado pouco mais de um ano da efetiva vigência da Lei Geral de Proteção de Dados (LGPD) [1], empresas ainda relutam em se adequar. A estimativa é de que aproximadamente quatro em cada dez empresas estejam totalmente adequadas à lei [2]. O problema começa quando se tem um pouco mais de vivência na área e percebe que, de fato, essas estimativas só são reais entre empresas consolidadas no mercado, enquanto a realidade para a grande maioria é bem mais gravosa do que a apresentada nas pesquisas.

Não é incomum conduzir uma auditoria ou uma visita técnica a uma empresa que se diz adequada à lei e encontrar lacunas gigantescas na adequação, desde ações simples, como utilização de softwares originais e firewalls, a ações bem mais gravosas e com potencial de incidentes da informação, como livre acesso aos servidores e ausência de controles mínimos de acesso físico.

A falta de informação ou mesmo a negligência das empresas em relação à lei e de como ela deve ser implementada, dá margem para atuação de "especialistas em checklist" ou "implementadores express", com promessas absurdas de adequação à lei com apenas alguns documentos prontos e editáveis ou adequações em 24 horas, nada mais próximo do absurdo. Não há nada de errado em se utilizar planilhas prontas e checklists específicos para facilitar o trabalho, eu mesmo faço uso de algumas, mas são ferramentas que devem apenas auxiliar os profissionais e não serem responsáveis pela totalidade da adequação.

É necessário dizer o óbvio muitas vezes e fazer uso de clichês, mas o barato costuma sair caro, especialmente quando estamos lidando com o direito de terceiros. Aceitar, com o perdão da palavra, uma adequação medíocre, fazendo uso de meia dúzia de documentos prontos ou acreditando que em 24 horas, ou qualquer outro prazo irreal, a empresa estará plenamente adequada, é quase um atestado de conivência no caso de um vazamento ou incidente da informação.

Ter uma política de privacidade, uma política de cookies e criar um relatório de impacto à proteção dedados (RIPD) ou outros documentos que possuem modelos prontos na internet, representa apenas uma parcela da adequação, apenas a parcela visível do projeto.

Ressalvadas as diferenças práticas de implementação dos requisitos legais, a adequação não se limita ao campo legal ou, por outro lado, ao campo puramente tecnológico, é um conjunto de atuações e esforços na tecnologia/segurança da informação, jurídico, compliance, projetos e outras áreas que podem ser necessárias, conforme complexidade da empresa e sua relação com os dados pessoais.

O alerta não se limita às empresas que buscam os serviços de profissionais e especialistas para adequação à lei, mas também aos próprios profissionais da LGPD. Conhecer o texto da lei nos seus mínimos detalhes e desconhecer o básico ou o essencial da parte técnica é uma negligência profissional. Não se espera que um profissional de TI tenha conhecimentos avançados na legislação, do mesmo modo que não se espera que um advogado saiba gerenciar servidores ou realizar pentests, mas se espera, sim, que ambos saibam o mínimo sobre as áreas correlatas à adequação, espera-se que o profissional de TI/SI tenha estudado a lei e que o advogado conheça minimamente sobre segurança da informação.

Quando lidamos com a privacidade de terceiros, fazer um trabalho apenas para se mostrar adequado, sem de fato estar, é irresponsável e traz ainda mais riscos, tanto para a empresa quanto para o titular dos dados pessoais.

É necessário, especialmente com a iminência de fiscalização da ANPD em janeiro de 2022 [3], que exista uma preocupação legítima das empresas em realizar um trabalho sério e de selecionar profissionais efetivamente capacitados para adequação à lei, garantindo não apenas que não receberão multas, mas também que mantenham e cultivem a confiança dos clientes e consumidores, mostrando controle de seu negócio e diligência com os dados sob sua guarda.