Grande desafio é a coordenação entre todas as novas determinações trazidas pelo texto legal.
Desde a promulgação da Lei Geral de Proteção de Dados-LGPD, muito tem se falado sobre práticas e medidas de compliance. Isso pois, a lei trouxe consigo o dever de segurança, ética e responsabilidade, quando se trata de dados pessoais, impondo uma série de requisitos às empresas que demandam multi e interdisciplinaridade das mesmas, para estar em adequação com a normativa. Ou seja, não apenas o setor jurídico e/ou o “TI” terão que se adequar às novas disposições advindas da lei, mas a empresa como um todo. A ideia é que as regras e princípios de proteção de dados sejam incorporados pela instituição, passando a integrar os valores e missão dessa, assim como ocorreu com as políticas de anticorrupção[1].
O grande desafio é a coordenação entre todas as novas determinações trazidas pelo texto legal, tais como, a necessidade do consentimento, políticas de segurança da informação, acesso aos dados e transparência. Resta-se claro, então, a necessidade de criar novas dinâmicas dentro dos estabelecimentos comerciais, ao mesmo tempo, surge o questionamento de como priorizar e por onde começar o processo de compliance com a lei. Nesse sentido, tem-se notado o movimento de algumas corporações para organizar e mapear seus bancos de dados, classificar as informações e reforçar a segurança dessas.
Entretanto, pouco se observa falar sobre um canal de comunicação com os titulares e sobre como se dará a efetivação das previsões dos artigos 17 a 22 da LGPD[2], que elencam os direitos dos mesmos. Dentre os quais está a garantia de, por meio simples, facilitado e imediato, os cidadãos requererem ao controlador (i) confirmação da existência de tratamento; (II) acesso aos dados; (III) correção de dados incompletos, inexatos ou desatualizados; (IV) anonimização, bloqueio ou eliminação de dados desnecessários e excessivos; (V) portabilidade dos dados; (VI) eliminação dos dados pessoais tratados com o consentimento do titular; (VII) informação sobre uso compartilhado de dados e implicações do não fornecimento do consentimento; e (IX) revogação do consentimento.
Contudo, à exemplo do cenário internacional, fechar os olhos para esses artigos da lei, mesmo que em um primeiro momento, não se faz tão coerente. Segundo o relatório desenvolvido pela DataGrail[3], empresa californiana de soluções para gestão de programas de privacidade, acerca do impacto operacional da GDPR , 58% das empresas submetidas a essa normativa estão recebendo mais de 11 requerimentos de dados por mês, 28% estão recebendo mais de 100 pedidos. Com isso, 58% das empresas possuem pelo menos 26 funcionários envolvidos em atividades relacionadas aos requerimentos feitos pelos titulares. Além disso, com o intuito de evitar erro humano durante o processamento dessas requisições, 84% das empresas adotaram algum mecanismo de automatização do gerenciamento desses pedidos, embora ainda existam muitas empresas que façam o processo manualmente.
De acordo com o relatório, a preparação para cumprimento de tais requisitos na GDPR envolveu um conjunto grande de atividades e providências como, a organização e o mapeamento dos dados, o estabelecimento de um fluxo de trabalho (seja automatizado ou manual) para o processamento das requisições, a implementação de gestão de consentimento e a atualização de políticas de privacidade. Gerando, desse modo, uma despesa, em média, de quatro mil horas de preparação, com reuniões e brainstorm, e um gasto em torno de cem mil dólares. Somado a isso, a manutenção desses mecanismos de congruência envolve tantas outras providências e gastos de tempo, conhecimento e dinheiro. Com isso, só 51% das empresas conseguiram estar em consonância com a GDPR na sua data de entrada em vigor, sendo que a maioria levou mais de seis meses para se preparar.
Logo, o que se percebeu nas nações alienígenas foi um custo de conformidade contínuo. Visto que, os tomadores de decisões dispendem praticamente a mesma quantidade de tempo e dinheiro gasto na implementação de políticas de compliance trabalhando para sustentar tal conformidade. Dessa forma, os early adopters estão se valendo de tecnologia para integrar os seus sistemas de negócios e reduzir os erros humanos, como forma de suportar as novas regulamentações. As empresas que são capazes de automatizar os processos manuais vinculados à adequação de privacidade, como mapeamento de dados e processamento dos requerimentos dos titulares, maximizaram sua eficiência e produtividade, minimizando os riscos e custos dessa conformidade contínua.
Ao que me parece, no Brasil não será diferente com a LGPD. A 15 meses da lei, as empresas devem começar a se preocupar com o estabelecimento desse canal de exercício de direitos dos titulares. Afinal, não possuindo um ambiente centralizado de solicitação, os players podem ser demandados nos mais variados meios de comunicação (call center, reclame aqui, ouvidoria, e-mail, chat, etc.). Além disso, sem o “trackeamento” desses pedidos, esses podem se perder sem uma resposta da companhia ao cidadão, resultando, assim, em infração legal pelo estabelecimento comercial. Fato esse que se tornará ainda mais gravoso com a possível aprovação da PEC número 17/2019[4], que acrescenta o inciso XII-A ao art. 5º da Constituição Federal, com o objetivo de incluir a proteção de dados pessoais entre os direitos fundamentais da pessoa humana.
Nessa toada, o que se sugere é a criação de uma interface entre empresa e titular, de forma que intuitivamente seja possibilitado o exercício das garantias elencadas nos aludidos dispositivos, cumprindo, assim, com os requisitos de facilidade, simplicidade e imediatismo determinados pela LGPD. Desse jeito, é possível fazer a gestão e o controle das solicitações, ao mesmo tempo que se permite que o titular exerça o seu direito. Centraliza-se, desse modo, em um mesmo ambiente os deveres das empresas e prerrogativas do detentor dos dados, além de armazenar as informações sobre a gestão e controle de dados em uma mesma base.
O momento é de efetivo aprendizado, enquanto a lei não entra em vigor, é possível mapear e testar soluções que melhor se adequem ao modelo de negócios de cada empresa.
Quanto antes se iniciar esse processo, menor a curva de conhecimento e implementação. Indo ao encontro disso, na pesquisa realizada pela DataGrail, os profissionais de privacidade da GDPR informaram que se pudessem ter feito algo diferente teriam (i) iniciado o planejamento e a implementação mais rapidamente, (ii) feito o levantamento dos dados, (iii) comprado uma solução comercial invés de produzir sua própria solução tecnológica; (iv) buscado por um solução tecnológica e (v) contratado mais mão-de-obra para se envolver nessas atividades.
Estamos vivenciando a era da privacidade. Com isso, devemos nos apoiar em modelos que estão em fase mais avançada de proteção de dados, como a GDPR, para traçar metas e desenhar caminhos que nos levem à concretização e eficácia da LGPD.
Na Europa, a saída encontrada[5] está sendo investir em soluções de tecnologia comercial que automatizem processos manuais e integrem sistemas de negócios e serviços de terceiros. No Brasil, os estabelecimentos comerciais só conseguirão entender qual trajetória deve ser seguida voltando a sua atenção para esse nicho da lei. Fato é, os primeiros a desvendarem esse percurso estarão à frente do mercado, sendo os precursores do efetivo compliance com a lei, garantindo os direitos dos titulares, assim como, a segurança dos dados pessoais.
Fonte: JOTA