Gustavo Artese*/ Ilustração: Julia Padula
Ano passado comprei uma impressora mais sofisticada para o escritório. Não apenas foi cara, como também depende de toners dispendiosos para funcionar. Logo recebeu da equipe o apelido carinhoso de “preciosa”. Na esteira imediata dessa compra indispensável logo vieram duas aquisições supérfluas para minha casa. A primeira, uma TV, pródiga em pixels e polegadas, atributos que lhe renderam a alcunha de “exibida”. A segunda, uma batedeira cujo propósito único seria auxiliar na produção caseira de pães de fermentação natural. Demonstrou tamanho vigor já em sua estreia que logo foi batizada de “furiosa”.
Passados alguns meses, o triunvirato eletroeletrônico que governou o final de 2018 já até tinha sido esquecido. Mas quando quis buscar por um termo que sintetizasse as minhas primeiras impressões sobre a Lei Geral de Proteção de Dados (LGPD), a primeira imagem (som, na verdade) que me veio à mente foi de ruído. A LGPD — preciosa, exibida e furiosa — começou ruidosa. Seu cartão de visitas foi o barulho. A associação com o trio de adjetivos que conferiram personalidade aos meus equipamentos foi inevitável.
O ruído não é sem motivo. O Brasil aprovou a LGPD atrasado em relação ao resto do mundo. De uma hora para outra, passamos a contar com uma lei de privacidade de terceira geração (que se caracteriza por controles firmes e multas pesadas) sem nenhuma cultura prévia no assunto.
Além disso, a lei veio a reboque dos fenômenos da transformação digital e da adoção de dados como motor para a inovação. Costumo dizer que entramos na festa quando ela já estava animada. Dados, hoje, têm altíssimo impacto sobre quase todos os negócios.
A lei também provocou mudanças de paradigma em vários aspectos: exige abordagem multidisciplinar; é baseada em princípios e depende de regulação; demanda novas competências, sem falar que não é tão fácil de entender.
Finalmente, representou oportunidades de negócio nas áreas jurídica, de consultoria e de serviços. Por meio da propaganda, as perspectivas comerciais certamente ampliaram os decibéis.
Leia também
Siga o panapaná da era da informação
Como fica o compliance com a LGPD
Efeitos da Lei de Proteção de Dados em operações de M&A
Uma onda assim repentina, economicamente impactante, peculiar, difícil de entender e atrativa comercialmente só podia mesmo ensurdecer. E o ruído, quando excessivo, pode levar a decisões equivocadas.
De modo geral, o ruído pode ser definido como o som desarmônico, marcado por vibrações irregulares; o som continuado que perturba uma comunicação ou a transmissão de uma informação — como, por exemplo, o de muitas vozes em conjunto. No caso da LGPD, impressiona a dissonância entre vozes.
Empresas e profissionais diretamente afetados pela LGPD ainda não têm à disposição um som límpido e claro a respeito de como lidar com esse conjunto de obrigações. A disparidade de opiniões é tamanha que de uma ponta do espectro ainda há quem diga que a lei não vai pegar, enquanto que da outra se alocam budgets milionários sem muita segurança quanto aos critérios para seu dimensionamento.
E como se abafa todo esse incômodo? O que fazer para navegar em um mar de informações desencontradas? Como saber se o que sua empresa está fazendo para se adequar é correto ou não? Arrisco algumas recomendações.
— Comece pelos fundamentos. A LGPD é uma lei de gestão de riscos. Para conformar-se há que se entender os riscos associados ao tratamento de dados e as obrigações que a lei impõe. São dois os propósitos: estabelecer o apetite para riscos da organização e dimensionar os recursos e esforços a serem alocados.
— Adequação é uma corrida de longa distância sem linha de chegada. É um processo contínuo, diário. Implica o estabelecimento de um hábito, tal qual escovar os dentes. Por ser corrida sem chegada, também carece de medalha; não há certificação ou selo de ouro. O prêmio é a certeza de se fazer o correto.
— O regulador também está começando e igualmente percorrerá uma curva de aprendizado. A lei será interpretada e aplicada de acordo com essa curva. Advocacy primeiro. Enforcement mais tarde.
— O profissional ideal em proteção de dados deve atuar de forma interdisciplinar, dominando essencialmente competências de três áreas: legal, processos/compliance e TI. A multidisciplinariedade é uma exigência para quem opera com a lei, requerimento que ainda não pode ser cumprido por um único profissional. O ideal é que todos os stakeholders com esses skills estejam envolvidos.
— Muito embora incipientes (e com algum grau de incerteza na contratação), seguros de cyber risks já são ferramentas a serem consideradas como coadjuvantes em processos de adequação. Afinal, estamos falando de gestão de riscos.
Para o não especialista é difícil dar continuidade prática a essas diretrizes. Aí entra a contratação de especialistas. Qual o melhor critério? Experiência internacional. A LGPD é produto europeu adaptado por brasileiros e sua adequação passa pelo mesmo processo. Por experiência considere-se a atuação em si, a formação e a participação destacada em redes e entidades internacionais que lidam com o tema. Tudo em nome da harmonização das notas dissonantes.
*Gustavo Artese ([email protected]) é sócio da área de direito digital e comércio eletrônico do escritório Viseu Advogados
Leia também
Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.
Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.
User Login!
Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.
Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais
Ja é assinante? Clique aqui
