ARTIGO|LGPD muito além do papel e da multa

Lucas Miglioli e Leandra Vinholi*

23 de setembro de 2020 |

Sempre que uma nova lei entra em vigor, a primeira coisa a ser divulgada é o valor da multa por seu descumprimento. Talvez nós, advogados, não tenhamos tanta criatividade para chamar atenção ao que realmente importa.
De qualquer forma, é mesmo natural buscarmos saber quanto a não conformidade vai custar. E, quando a multa por infração pode chegar a R$50 milhões – como na Lei Geral de Proteção de Dados (LGPD) -, reconheçamos, começar pela penalidade é mesmo uma boa forma de atrair os holofotes.
A vultuosidade da penalidade prevista pela LGPD demonstra sua relevância ao regulamentar a política de proteção de dados pessoais e privacidade, modificar artigos do Marco Civil da Internet e estabelecer a forma como empresas e órgãos públicos devem tratar a privacidade e a segurança das informações de usuários e clientes. Atinge, indiscriminadamente, a todos.
Afinal, na era de dados em que vivemos, os dados pessoais “valem mais que petróleo”.
A lei impõe uma série de deveres às empresas que captam e tratam dados, como o mapeamento detalhado do ciclo de vida dos dados pessoais dentro delas e maior proteção e investimentos na área de segurança cibernética, dentre outras adequações formais.
Seu impacto, no entanto, vai muito além do cumprimento dessas obrigações, abrindo as portas para uma mudança cultural, das empresas e dos próprios indivíduos.
Essa evolução do mindset se fundamenta em dois pilares. O fator humano e a governança corporativa.
Fator humano
Imagine este cenário: a empresa investe em segurança cibernética para proteger sua rede da invasão de hackers. Melhora o firewall, antivírus, contrata a plataforma de e-mails de uma empresa renomada. Bloqueia o acesso a sites de risco e proíbe a utilização de pastas de armazenamento gratuito. Cria um plano de continuidade de negócios e gestão de crise em caso de vazamento de dados. Insere o plano de resposta e de recuperação.
Tudo perfeito, “by the book”. Mas não treina o seu funcionário sobre o que é o phishing. O funcionário clica no phishing e abre uma porta para o hacker.
Noutro exemplo, os colaboradores costumam levar, a tiracolo, seus laptops com os dados (pessoais) dos clientes que atendem, desconsiderando a facilidade com que podem ser perdidos ou roubados, comprometendo a segurança das informações neles contidas.
Outra fragilidade muito comum – que quase ninguém se dá conta – é o envio de e-mail para um grupo de pessoas usando o campo “para” em vez de “bcc”. Como o endereço de e-mail é um dado pessoal e o assunto da mensagem pode revelar informações pessoais confidenciais, esse lapso configura distribuição não autorizada de dados pessoais.
Em qualquer um desses casos todo investimento feito pela empresa pode ir por água abaixo.
Não à toa, o “fator humano” costuma ser o ponto mais frágil na segurança de dados, simplesmente porque as violações ocorrem muito mais frequentemente por conta de erro humano do que ataques maliciosos.
Por isso, mais do que um bom projeto, é preciso treinar os funcionários, deixando-os totalmente cientes dos riscos. Afinal, como se diz por aí, “o papel aceita tudo”. Os processos desenhados em um relatório de impacto de dados pessoais podem ser perfeitos, mas um erro simples de um funcionário pode comprometer todo o processo, incrementando o risco.
Veja, o mapeamento de dados não serve apenas para cumprir a lei. É uma ferramenta poderosa para evitar riscos desnecessários às empresas. Mas, as empresas são constituídas de pessoas. Essas pessoas precisam ser conscientizadas da relevância dos dados pessoais e preparadas para a nova realidade trazida pela LGPD.
Governança corporativa
A LGPD traz uma seção sobre “Boas Práticas e Governança”. A Governança em Privacidade envolve a implementação de um programa com estrutura similar ao de compliance.
Nesse quesito, sai na frente quem já tem um programa de compliance implementado, porque o processo de implementação é praticamente o mesmo: GAP analysis entre a situação atual da empresa e os aspectos de conformidade; mapeamento de processos e identificação de riscos; criação de plano de continuidade de negócios e gestão de crises; criação de plano de implementação incluindo treinamentos, comunicação e material educacional; monitoramento, melhoria contínua, e por aí vai.
Outro ponto importante da governança em privacidade, assim como no programa de compliance, é o “tone at the top” ou o “walk the talk”, pelo qual a alta administração se envolve diretamente no processo, se tornando exemplo na liderança da implementação do programa.
É essencial que os executivos se dediquem ao tema e liderem pelo exemplo na execução das políticas de privacidade.
É hora do compliance entrar de mãos dadas com as ações de proteção aos dados pessoais. É hora de impulsionar a governança corporativa dando aos executivos uma visão mais abrangente destes temas na tomada de decisões.
Não basta se limitar ao preenchimento dos requisitos formais impostos pela LGPD. É preciso ir mais longe, ampliar o horizonte e se adequar à nova realidade.
Até porque, agora, mais do que nunca, vai ficar caro não se ajustar.

*Lucas Miglioli, sócio do Miglioli e Bianchi, especialista em Direito Empresarial e Leandra Vinholi, advogada consultora do Miglioli e Bianchi Advogados, especialista em programas de compliance, gestão de riscos e governança corporativa

Clique aqui e leia o original publicado no Estadão.