A Lei Geral de Proteção de Dados (LGPD) voltou ao noticiário e depende apenas da sanção do Presidente para entrar em vigor. Assim, as companhias que ainda não estavam preparadas para as exigências da LGPD precisam ajustar seus planejamentos para atenderem à legislação. A lei deve deixar mais claras as regras de uso e tratamento […]
A Lei Geral de Proteção de Dados (LGPD) voltou ao noticiário e depende apenas da sanção do Presidente para entrar em vigor. Assim, as companhias que ainda não estavam preparadas para as exigências da LGPD precisam ajustar seus planejamentos para atenderem à legislação. A lei deve deixar mais claras as regras de uso e tratamento de dados no país. Parte importante desse processo é a figura do DPO (Data Protection Officer), que é o profissional responsável pela proteção dos dados e pelas políticas de privacidade dentro das companhias.
A figura do DPO não existia antes. Por outro lado, as funções associados ao novo cargo já eram compartilhadas por áreas diferentes das corporações. E é justamente nessa intersecção de conhecimentos de segurança da informação, tecnologia e departamento jurídico que o novo tipo de profissional deve atuar.
Para a especialista em proteção de dados e sócia do Dias Carneiro Advogados, Vanessa Pareja Lerner, o responsável por manter as empresas em dia com a LGDP não vai ter uma tarefa fácil. “O encarregado vai ter desafios imensos, muitas vezes, a empresa está adequada, mas a verdade é que o desafio vem do dia a dia”, explica Lerner, que critica a forma como a lei chega aos brasileiros.
A antecipação do prazo de preparação tanto de empresas quanto dos profissionais que vão precisar lidar com a LGPD também preocupa especialistas. “A questão do prazo mexe com a vida das empresas e dos DPOs quanto as adequações necessárias para atender à LGPD. Os DPOs teriam cerca de um ano para esta preparação, considerando todas as tratativas anteriores sobre a entrada em vigor da lei”, explica o sócio da Performa Partners, Paulo Mordehachvili.
Por outro lado, não se pode negar que há urgência na entrada da lei em vigor: a cada 90 dias, são registradas cerca de 15 bilhões de tentativas de ataques cibernéticos. Com a digitalização de empresas e um grande número de novos usuários em aplicativos de bancos e pagamentos, a tendência é que esse número seja ainda maior.
Assim, se levarmos a situação ao mundo corporativo, o impacto de um ataque à rede pode trazer consequências difíceis de contornar. “Há urgências também no quesito preparação: a empresa possui uma equipe específica de Segurança Cibernética? Este time tem apoio da alta direção e tem autonomia para a tomada de decisões que podem afetar a continuidade do negócio? A pressão da realidade é maior ainda que a pressão da própria lei”, afirma Mordehachvili.
Além do conhecimento da lei, Vanessa aponta que o DPO deverá reunir um conhecimento profundo da companhia e de qual é a jornada dos dados em cada serviço. Nesses casos, é importante ter aliados nas diferentes áreas, assim como entender os negócios. Uma situação padrão é a necessidade dos DPOs estarem envolvidos na adequação de novo produtos, por exemplo.
“Há dois pontos em relação à LGPD: o primeiro, é genérico em relação a lei e o cenário ideal. O segundo é uma visão concreta do que deve ser feito para chegar no cenário de adequação. Por isso, sem conhecimento da área que está sendo questionada e do fluxograma geral de dados da empresa pode ser difícil aconselhá-la”, aponta a sócia do Dias Carneiro Advogados.
Esse papel de conselheiro e ao mesmo tempo protetor das boas práticas da empresa é bastante relevante na formação de um DPO, explica Paulo Mordehachvili. “Certamente, o DPO será o líder da disseminação da cultura de proteção de dados, que é um item positivo e que veio para ficar”, aponta o sócio da Performa Partners e CEO da CECyber.
Para a sócia do Dias Carneiro Advogados, há motivos para preocupação na chegada da lei de forma acelerada. “É uma lei de extrema importância, é imperativa. No entanto, dada à complexidade da lei, me preocupa a forma como o prazo foi tratado e as inseguranças em relação a interpretação de alguns artigos”, comenta Lerner.
Outra sigla importante nessa conversa é ANPD, a Autoridade Nacional de Proteção de Dados. O órgão federal foi criado em 2019 e tem o objetivo de regulamentar e fiscalizar a nova lei. Além disso, é responsabilidade da ANPD a aplicação de multas, quando for o caso. A autoridade deve funcionar como um elo entre o governo e a sociedade. Atualmente, o órgão ainda não foi totalmente organizado e nem os seus membros escolhidos, o que preocupa especialistas.
Ainda não se sabe quando efetivamente a LGPD entra em vigor. Fato é: a nova legislação muda a forma como as empresas e pessoas passarão a lidar com os dados pessoais. E, se aplicada corretamente, deve trazer mais direitos, privacidade e transparência para a relação entre marcas e os dados de consumidores. E, no fim das contas, o DPO está bem no meio da questão.
