Como muitos já sabem, a Lei Geral de Proteção de Dados (LGPD) trouxe responsabilidades e obrigações aos “agentes de tratamento”, ou seja, pessoas físicas ou jurídicas, tanto do setor público como privado, que realizam o tratamento de dados pessoais com viés econômico, científico ou oficial, além de estabelecer punições em caso de violação dos direitos dos titulares desses dados.
Considerando que estamos nos aproximando do fim de 2023, ano em que a LGPD completou 05 anos de sua publicação, vale a seguinte reflexão: para as empresas, o que mudou na prática?
Existem diversas respostas para essa pergunta, mas, relembrando brevemente os principais acontecimentos que nos trouxeram até este momento e seus impactos, indicaremos algumas das principais mudanças.
Entre 2018 e 2020, apesar de muitas empresas terem se atentado à nova Lei, a principal iniciativa no setor privado de implementar programas de privacidade adequados à LGPD partiu de empresas multinacionais cujas matrizes encontram-se sediadas em países europeus. Isso se deve ao fato de que as referidas empresas já tinham que atender a diversos padrões e diretrizes impostos por suas controladoras, que estão submetidas ao Regulamento Geral de Proteção de Dados (RGPD) desde 2016, cabendo às unidades brasileiras apenas a missão de “tropicalizar” as providências adotadas para garantir a sua conformidade com a legislação nacional.
Em 2020, quando a LGPD entrou em vigor em um contexto pandêmico, era comum que dirigentes de empresas se manifestassem no sentido de que as regras estabelecidas “não pegariam” e, portanto, investir em proteção de dados seria um desperdício do seu orçamento. Por outro lado, boa parte das empresas de setores mais expostos, em que o tratamento de dados pessoais figura como atividade central da operação – como e-commerce, tecnologia, comunicação, marketing, etc. – buscaram adequar os seus processos internos e rotinas corporativas à Lei.
Em 2021, a Autoridade Nacional de Proteção de Dados (ANPD) passou a operar e teve uma atuação muito mais voltada à conscientização e prevenção dos agentes de tratamento, o que reforçou a opinião de alguns sobre não haver rigor na fiscalização.
No entanto, em 10 de fevereiro de 2022, a Emenda Constitucional 115/22 inseriu a proteção de dados no rol de direitos fundamentais previstos no art. 5º da Constituição Federal, um claro recado do Poder Público brasileiro de que, sim, a LGPD “pegou”.
Em 06 de julho de 2023, a ANPD publicou a primeira multa administrativa por infração à LGPD.
Feita a retrospectiva, vamos às principais mudanças nas rotinas corporativas:
Diligência de terceiros: nos últimos 18 meses, observou-se uma tendência do mercado em beneficiar empresas que possuem programas de privacidade efetivos, considerando que cada vez mais as contratações são precedidas do envio de formulários contendo questionamentos sobre a conformidade do terceiro com a LGPD, e isso não parte apenas daquelas multinacionais que se adequaram desde o início, mas de empresas dos mais variados portes e setores.
Isso ocorre porque a LGPD estabelece uma responsabilidade solidária entre os agentes de tratamento, de modo que as empresas que possuem programas de privacidade implementados passaram a exigir o mesmo de seus clientes, fornecedores, parceiros comerciais e dos demais terceiros com os quais possam compartilhar ou dar acesso a dados pessoais.
Contratos firmados: inicialmente, cláusulas padronizadas de proteção de dados pessoais eram disseminadas em todos os tipos contratuais, o que gerava uma falsa sensação de cumprimento da LGPD. Agora, muitas empresas têm adotado uma abordagem personalizada para a proteção de dados em suas contratações, visando que cada operação seja analisada individualmente, considerando suas particularidades e necessidades específicas. Tal fato demanda maior energia e recursos das partes envolvidas.
Encarregado: as empresas que se limitaram a indicar um de seus profissionais para assumir a função de encarregado e divulgar os seus dados de contato publicamente, conforme exigido pela LGPD, quando questionadas por terceiros sobre a existência e efetividade do seu programa de privacidade, têm dificuldades em apresentar evidências.
Portanto, as empresas têm verificado a necessidade de capacitar esse profissional ou contratar uma consultoria externa, com o objetivo de garantir que a função de encarregado seja exercida regularmente para implementação e monitoramento dos pilares da governança em privacidade.
Registro das operações: existe um ditado muito comum no Compliance que diz que “não basta estar em conformidade, é preciso demonstrar a sua conformidade”. Isso vale para o programa de privacidade das empresas, pois, além da divulgação das políticas e protocolos, é necessário que a empresa registre todas as medidas adotadas para o monitoramento e efetividade dos controles voltados a garantir a segurança dos dados. Isso, claro, depende da conscientização e comprometimento de todos os colaboradores envolvidos no tratamento de dados em nome da empresa.
Treinamento e Comunicação: a conscientização e comprometimento mencionados no item anterior são viáveis apenas quando os colaboradores da empresa têm acesso a informações de qualidade sobre proteção de dados e são constantemente lembrados da importância do tema. Para tanto, é essencial que cada empresa tenha um calendário estabelecido para treinamentos e comunicações e, obviamente, garanta recursos para que sejam realizados.
Os impactos mencionados acima na rotina das empresas deixam claro que a busca por soluções sob medida para o desenvolvimento de um programa de privacidade pode requerer mais tempo e esforço do que muitas empresas imaginam ou têm feito até o momento. Mas, fato é que apenas assim será possível desenvolver uma governança em privacidade compatível com a realidade e necessidade de cada empresa, garantindo que os seus objetivos e operações estejam alinhados com os direitos dos titulares dos dados e as exigências do mercado.