A pouco menos de nove meses da entrada em vigor da LGPD, todo o País passa por uma grande transformação cultural sobre aspectos de privacidade, proteção de dados e gestão de risco. No Estado da Bahia, onde acontecerá o 1º Security Leaders Salvador, não é diferente. Em entrevista para a Security Report, Umberto de Oliveira Filho, advogado especializado em privacidade e proteção de dados, comenta o momento atual, diante de alguns movimentos para postergar ou parcelar as multas e também a falta de uma autoridade constituída, como tem afetado as organizações locais.
Umberto Filho iniciou recentemente as atividades com proteção de dados pessoais, mais precisamente em 2017, com elaboração de pareceres sobre a legislação europeia e sobre previsões específicas do Código de Defesa do Consumidor e Marco Civil da Internet. “Em 2018, com a publicação da nossa lei brasileira de proteção de dados pessoais, minhas atividades foram direcionadas para a consultoria jurídica preventiva a respeito dos impactos da lei nas corporações e atuação em projetos de implantação do compliance com a LGPD (atualmente, o escritório conduz a implementação em dois clientes). Já no que se refere à atividade como DPO, desde a certificação pelo EXIN, o cliente para o qual presto serviços como encarregado (agência de marketing digital) não recebeu demandas de órgãos fiscalizadores, nem de titulares de dados pessoais, de modo que a atuação também está voltada para a implantação do programa de compliance na referida agência”, comenta sobre sua trajetória.
SR: Como você avalia os últimos PLs, um que procrastina a LGPD para 2022 e o outro sobre o pagamento das multas de forma parcelada?
UF: Não vejo com bons olhos o PL 5762/2019, da Câmara dos Deputados, que objetiva prorrogar a entrada em vigor da LGPD. Nossa lei não surgiu “do nada”. Bem ou mal, já se passou mais de um ano da publicação da Lei 13.709/2018 e tenho visto cada dia mais o tema circulando nos mais diversos meios de comunicação. Todos os esforços deveriam estar voltados para pressionar pelo início efetivo da atuação da Autoridade Nacional de Proteção de Dados (ANPD), pois estamos perdendo um tempo precioso, que poderia estar sendo utilizado para edição de orientações sobre interpretação da lei e nos temas que a ANPD precisará regular (como, por exemplo, especificar melhor a portabilidade dos dados, definir a metodologia para cálculo do valor-base da multa, etc). Já o PL 6149/2019, que propõe como uma medida alternativa a progressão do valor-base das penalidades financeiras, parece caminhar num sentido mais coerente, garantindo que a lei entre em vigor no prazo inicialmente previsto, mas ao mesmo tempo, concedendo progressão no valor da multa. Para quem não está adotando medidas concretas para entrar em conformidade com a lei, ainda não será o melhor dos cenários, já que a multa não é a pior das penalidades. Infelizmente, quem deixar para a última hora, vai passar por dificuldades.
SR: Para você, o que as empresas devem fazer, uma vez que a ANPD ainda não foi constituída com os seus membros?
UF: Inicialmente, devem esquecer essa estória de que a “LGPD não vai pegar”. É muito claro o caminho que vem sendo adotado por vários países, no sentido de tentar garantir à população um mínimo de controle sobre seus dados pessoais. Em segundo lugar, não confiem em soluções que prometem deixar o cliente “em compliance com a lei” como num passe de mágica. Terceiro: se informem sobre pontos básicos da lei e, a partir daí, pesquisem opções de serviços que incorporem não só conhecimento jurídico, mas também profissionais de segurança da informação, gerenciamento de projetos e mapeamento de processos. O caminho para a conformidade com a LGPD exige multidisciplinaridade.
SR: Como advogado e especialista em direito digital, como você avalia o grau de maturidade no plano de ação das empresas do Estado da Bahia?
UF: As empresas que estamos atuando no escritório são de outros estados, o que me impede de ser bem assertivo na análise. No entanto, com o que ouço de profissionais que converso e vejo em algumas empresas, falo sem medo de errar que o grau de maturidade é muito baixo. Logicamente, estou me referindo não aos grandes grupos empresariais locais (que tem se movimentado), mas sim aos médios e pequenos negócios, que são a grande maioria.
SR: Quais as maiores dificuldades e desafios para as empresas se adequarem à LGPD?
UF: As maiores dificuldades que vejo são entendimento da lei e orçamento. Para a implantação, podem achar opções boas e com custo mais baixo, mas de qualquer forma, é necessário “mexer no bolso”. Como desafios, aponto a própria jornada para entrar em conformidade, que leva tempo e necessita de muito apoio interno no cliente, bem como a manutenção da efetividade do programa rodando adequadamente. O que mais me assusta é colaborador ou parceiro mau treinado ou com más intenções, pois nessas situações não há ferramentas tecnológicas que ajudem a impedir efetivamente a ameaça.
SR: Quais as recomendações que tem dado para as empresas seguirem com a implementação? Há uma ordem no processo, a exemplo de um corpo multidisciplinar, conscientização, tecnologias e gestão de risco/compliance?
UF: Multidisciplinaridade é imprescindível (jurídico, compliance, gerenciamento de projetos, mapeamento de processos, segurança e tecnologia da informação).
Na maioria dos casos, o primeiro passo é a própria empresa, por meio de seus diretores/gerentes, refletir sobre as suas atividades, a fim de visualizar previamente a fluidez dos dados pessoais dentro da corporação (isso ajuda demais a tomarem fôlego para iniciar o projeto). E, neste primeiro passo, uma palestra de conscientização ajuda bastante. O roteiro que seguimos envolve seis fases (que se dividem em várias etapas), quais sejam:
1. Planejamento – onde fazemos atividades para entender o cliente e seus principais stakeholders;
2. Conscientização – com objetivo de nivelar conhecimentos sobre privacidade e proteção de dados pessoais;
3. Identificação e diagnóstico – fase em que analisamos documentos, contratos, aplicamos questionários e fazemos entrevistas, para poder chegar num relatório preliminar de riscos;
4. Preparação – quando são definidos os alicerces do programa, elaborado plano de trabalho e definidos os responsáveis;
5. Desenvolvimento -momento no qual ocorre a maior parte das “entregas” ao cliente, tais como cartilha e fluxo de ciclo de vida dos dados; book de requisitos de tratamento de dados, revisão de políticas e normas, código de conduta, contratos, regimento interno do Comitê de Privacidade, etc;
6. Implantação – estruturação do Comitê de Crise, implementação de rotinas e indicadores para garantir que o programa continue rodando.
SR: Como as empresas do Estado da Bahia estão enxergando o DPO nesse contexto? A maioria está optando por eleger um profissional interno ou buscam um profissional externo?
UF: Aqui na Bahia, o perfil das grandes empresas que vem se desenhando é o de ter profissional dedicado full time à atividade, incorporado ao quadro interno. Já médias e pequenas empresas, devem optar por ter o DPO as a service, até mesmo para reduzir o custo.
SR: Quais são as principais lacunas interpretativas na LGPD e como o CISO e o comitê de LGPD devem proceder, uma vez que a Autoridade ainda não foi formada?
UF: Vou listar aqui algumas que me fizeram refletir nos últimos dias:
1) como fica o tratamento dos dados pessoais quando o titular falecer?;
2) o pedido de revisão de decisão automatizada não precisaria ser fundamentado pelo titular do dado pessoal e, para isso, ele deveria adotar como providência inicial seguir o que prevê o §1º do artigo 20 da LGPD?;
3) o §7º do artigo 52 não abre a brecha de se interpretar que, realizando acordos individuais, o controlador afastaria automaticamente a possibilidade de punição pela ANPD?;
4) em relação aos bancos de dados pessoais atualmente existentes, a depender do caso, o artigo 63 não afastaria a possibilidade de punições pela não adequação imediata às regras da LGPD?
Como advogado, a primeira opção que vejo para obter interpretações da lei, enquanto a Autoridade Nacional não estiver formatada, é a consulta a profissionais da área, para oferta de pareceres fundamentados.