Inspirada na Lei de Proteção de Dados Europeia (GDPR), a Lei Geral de Proteção de Dados brasileira (LGPD) foi sancionada em agosto de 2018. Se, por um lado, ela assegura ao cidadão maior conhecimento e controle sobre a coleta, tratamento, armazenamento e uso dos seus dados pessoais, por outro enseja mais obrigações para aqueles que, de alguma maneira, manipulam esse tipo de informação, prevendo, em casos de seu descumprimento, sanções que podem chegar a até 50 milhões de reais (por infração).
É bem verdade que os desafios para se adequar com sucesso à nova legislação serão muitos e que as empresas que realizam o tratamento de dados pessoais devem começar a se preparar de imediato, tendo em vista que o período legal de adaptação não dá margem para procrastinação. Apesar disso, é preciso encarar o tema com serenidade.
Antes de mais nada: negócios que envolvem dados não vão acabar por conta da entrada em vigor da LGPD, mas mudanças serão necessárias. A adaptação do mercado ao conteúdo estabelecido na LGPD exigirá uma rápida assimilação e provocará mudanças estruturais.
Ao invés de uma nova ordem que resulte no fechamento de diversas empresas, essa pode ser a oportunidade de as empresas reinventarem a si próprias, principalmente, no que diz respeito ao papel dos dados pessoais em seus negócios. Em um momento no qual a importância dos dados é equiparada à importância do petróleo, não é exagero afirmar que aqueles que dominarem os seus dados vão sair na frente: não há tempo a perder.
Como todas as empresas terão que despender esforços e recursos nessa adaptação, o timing de implementação desse processo diferenciará as empresas entre si. Aquelas que não se adequarem de forma rápida e assertiva perderão mercado para seus concorrentes. Por isso, a ocasião deve ser valorizada como o ideal para estimular o pensamento estratégico e a gestão dos riscos no planejamento e na condução das atividades que envolvem dados pessoais e sua proteção.
As start-ups, em razão da estrutura flexível que usualmente possuem, podem ter mais facilidade em adequar-se ao que a legislação exige. Empresas tradicionais eventualmente podem enfrentar maiores dificuldades no restabelecimento de processos e na catalogação dos dados. Como toda inovação disruptiva, o estranhamento inicial por parte das empresas que estão começando a implementar o processo de compliance é esperado. Levará algum tempo, mas os novos procedimentos serão, mais cedo ou mais tarde, assimilados como parte da rotina empresarial e alterações implementadas serão encaradas com maior naturalidade.
Apesar da desconfiança das pessoas que procuram saber, antes de mais nada, se a nova legislação “vai pegar” ou “se vou ser preso” — preocupações bastante legítimas, diga-se de passagem — o estranhamento inicial parece dar lugar ao engajamento, como mostra o exemplo europeu. Em pesquisa recente publicada pela TrustArc, as principais motivações indicadas pelas empresas entrevistadas para ficar em compliance com a GDPR são atender às expectativas dos clientes e dos parceiros, bem como fortalecer seus valores. Percebe-se que o foco é fazer do limão uma limonada.
Nesse contexto, não é novidade que aspectos legais, processuais e tecnológicos precisarão ser revisitados. O maior desafio, no entanto, será a mudança cultural que deverá existir para que a aplicabilidade da LGPD tenha sucesso. A movimentação nesse sentido parece já ter começado. O assunto vem sendo abordado pela mídia e foram criados diversos fóruns de discussões sobre o tema no Brasil, indicando um interesse da sociedade em participar ativamente da implementação da nova lei.
As empresas, por sua vez, estão interessadas em entrar em compliance. Muitas delas já iniciaram uma avaliação interna para identificar a natureza dos dados que já possuem e a finalidade para as quais são utilizados. Esse conhecimento, que a princípio pode parecer trivial, ainda está longe da realidade de grande parte dos negócios que tratam dados pessoais.
A verdade é que a ausência de regulamentação sobre a matéria fez com que muitos negócios fossem desenvolvidos e explorados, durante anos, sem um planejamento adequado no que diz respeito ao tratamento de dados e com pouca ou nenhuma preocupação em relação à privacidade. As consequências incluem a coleta excessiva de dados que muitas vezes não são necessários aos propósitos de quem os coletou e cujo imenso volume acaba sendo difícil de mapear e classificar. Os empreendedores não atentaram, à época, para o fato que o autoconhecimento da empresa no aspecto de dados é empoderador.
O amplo mapeamento do fluxo de dados pessoais em uma empresa é uma tarefa necessária ao desenvolvimento da real percepção do valor que esses dados têm em cada aspecto do negócio. Essa análise interna permite que empresas identifiquem dados que não agregam valor aos seus negócios, dados que significam altos riscos, dados que podem estar sendo subutilizados e até mesmo dados que não têm qualquer utilidade. A partir de constatações como essa, torna-se possível, então, redesenhar o fluxo de dados pessoais, tornando-o mais enxuto, assertivo e eficiente.
Como uma consequência desse processo de autoconhecimento, as empresas poderão reduzir seu inventário de dados pessoais ao que for estritamente relevante ao seu negócio, diminuindo os custos de manutenção, traduzida em infraestrutura necessária para armazenar o volume de dados e pessoal capacitado para manuseá-los. A redução do inventário de dados significa, ainda, uma redução de riscos para a empresa, uma vez que se torna mais fácil controlar o acesso aos dados pessoais e reduzir as portas de risco. E, por falar em riscos, as empresas poderão — e deverão — adotar medidas de segurança mais sofisticadas e compatíveis com suas operações, protegendo-se de maneira mais efetiva de cyber ataques e dos enormes prejuízos (financeiros e morais) deles decorrentes.
É preciso lembrar, ainda, que com a eliminação de dados desatualizados, incorretos ou imprecisos do fluxo de dados de uma empresa, é elevada a qualidade dos dados efetivamente tratados e dos produtos deles derivados. O nível das entregas da empresa, sem dúvida, é afetado de maneira positiva, sobretudo quando os dados em questão são utilizados para gerar inferências ou decisões automatizadas que dependem diretamente da qualidade de sua matéria prima, os dados brutos.
Há, ainda, quem comemore a implementação da LGPD, com seu alto nível de proteção, por impedir a perda de negócios que requerem a transferência de dados entre países. Isso porque a GDPR criou uma série de limitações à transferência internacional de dados, a qual apenas é permitida quando o país de origem ou de destino dos dados possui legislação análoga à GDPR. Com a LGPD, o Brasil e as empresas aqui localizadas poderão manter negócios com as empresas situadas na União Europeia e ficam à frente em relação a empresas de países que ainda não possuem legislação adequada sobre o tema.
Diante da reorganização de negócios necessária ao compliance com a LGPD, não é difícil perceber que oferecer produtos ou serviços com um olhar direcionado ao respeito da privacidade agregará valor à própria oferta e à imagem da marca, além de fortalecer a relação de confiança e fidelidade existente entre empresa, seus parceiros e os consumidores.
O que as empresas precisam perceber — o quanto antes — é que as legislações de proteção de dados, como GDPR e LGPD, não devem ser encaradas como meros requisitos a serem cumpridos, mas como uma oportunidade de negócios na era da proteção de dados. Com o placar zerado para todas as empresas em relação aos novos desafios e oportunidades, internalizar os princípios e requisitos das novas legislações de proteção de dados parece ser o segredo para a diferenciar-se e obter sucesso no novo mercado que está surgindo.
Por Débora Vieira, Larissa Cahú e Isabelle Rufino (sócias do DA FONTE, ADVOGADOS especializadas em Propriedade Intelectual e Novas Tecnologias)
