*por Simone Santinato, DPO da Etek NovaRed
A Lei Geral de Proteção de Dados (LGPD) – 13.709/2018 – está com uma contagem regressiva um tanto estranha. Pela programação inicial, ela deveria entrar em vigor ainda este mês. Porém, hoje, vigora a Medida Provisória 959/2020, que ainda não foi votada e que solicita que a LGPD só passe a valer a partir de agosto de 2021. Mas, enquanto você lê este texto, tudo pode ter mudado. Em resumo: como dizem por aí, o Brasil não é para amadores.
Independentemente do cenário que tenhamos, sigo insistindo que a privacidade e proteção de dados deve ser adotada pelas organizações por uma questão de princípio ou cultura do negócio e não como uma medida para evitar sanções legais. Digo isso porque acredito as pessoas estão cada vez menos dispostas a se relacionar com empresas que não respeitam a privacidade dos clientes. Então, embora exista o aspecto legal na LGPD, a lei tem potencial de direcionar a organização para que ela se coloque em um lugar de destaque aos olhos da opinião pública.
No meu dia a dia tenho visto que as empresas mais maduras não paralisaram os seus processos de adequação à LGPD em decorrência das indefinições do Governo. Até mesmo porque, dentro delas, existe o entendimento de que projetos dessa dimensão não exigem apenas investimentos financeiros. Envolve um complexo e exaustivo trabalho de convencimento de um grupo de executivos sobre a importância da ação. Muitos clientes da Etek NovaRed já estão em fase de implementação do projeto. E no meu entender, o fato de a empresa entender que precisa se adaptar independentemente da lei é um nítido sinal de amadurecimento do mercado. Isso me deixa muito feliz.
Às organizações interessadas em acelerar a adequação à LGPD, sugiro que comecem pelo entendimento da segurança da informação como a etapa principal desse processo. Afinal, não faz sentido ter as demais fases em perfeito funcionamento, enquanto se mantém uma porta aberta para ataques maliciosos. Seu projeto deve incluir, ainda: mapeamento dos dados pessoais que estão em poder da organização; governança de privacidade, gestão de riscos de terceiros; treinamento de conscientização de todos os níveis hierárquicos da equipe; e monitoramento contínuo do programa.
Tenho esperança de que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que será responsável pela fiscalização e regulação da LGPD, leve em conta a boa-fé das empresas diante de alguma irregularidade detectada. Mas não dá para prever como esses julgamentos acontecerão na prática. Então, recomendo que as empresas se apressem na adequação e, no mínimo, tenham sempre à mão provas de ações que atestem a preocupação em amadurecer. Nós já estamos bastante avançados em segurança da informação e vamos evoluir também em privacidade.
Com relação à escolha de um parceiro no processo de adequação à LGPD, deixo aqui uma última reflexão: considerando o quanto a lei ainda é recente, será que já temos um especialista no mercado? Entre os fornecedores desse serviço, precisamos ser humildes para assumir que estamos em work in progress, ou seja, aprendendo e em conjunto. Quanto mais tivermos esse entendimento e essa honestidade, melhor vai ser o resultado final, com reais benefícios para todos.
