LGPD: sua empresa já tem um DPO?
O Diário do Comércio procurou o recém-criado Conselho Nacional de Proteção de Dados Pessoais e da Privacidade para esclarecer pontos nebulosos dessa nova lei que prevê multas milionárias
A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), que estabelece regras para o tratamento de dados pessoais, exige das empresas uma nova cultura organizacional. No futuro, a boa gestão das informações pessoais, da coleta ao descarte, será um diferencial muito importante para as organizações
Essa é a opinião de Bruno Ricardo Bioni, um dos membros do recém-criado Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo da Autoridade Nacional de Proteção de Dados (ANPD).
Em entrevista exclusiva do Diário do Comércio, o especialista adiantou que está em discussão na agência reguladora um tratamento diferenciado voltado aos pequenos negócios em relação às penalidades e exigências previstas na legislação.
“O porte econômico é um dos critérios avaliados, mas não é o único e nem o mais importante”, ressaltou Bruno Bioni, também diretor do Data Privacy Ensino, que oferece cursos focados na LGPD e treinamento de DPO (Data Protection Officer), o novo cargo que surge na esteira da norma, uma espécie de guardião dos dados pessoais. Acompanhe a entrevista abaixo:
A LGPD está em pleno vigor desde agosto. Como será feita a fiscalização e a aplicação das multas pela ANPD?
É preciso concluir a redação de uma Instrução Normativa que trará a metodologia da dosimetria da pena, com detalhes sobre quais condutas transgressoras podem ser sancionadas com algum tipo de penalidade, mais ou menos intensa. Provavelmente será a primeira regulamentação da agência.
É importante esclarecer que, muito embora somente agora a LGPD esteja totalmente operante, os demais órgãos reguladores, como a Secretaria de Defesa do Consumidor e Procons, estão fiscalizando e aplicando multas. É uma agenda de fiscalização ampla, que envolve a atuação das agências reguladoras de respectivos setores econômicos produtivos, como a Agência Nacional de Telecomunicações, Agência Nacional de Saúde etc. São vários órgãos que estão legitimados por outras legislações (Lei Geral de Telecomunicações, Código de Defesa do Consumidor, Marco Civil da Internet, Lei do Cadastro Positivo) a atuar na questão da privacidade de dados pessoais.
As pequenas empresas terão tratamento diferenciado no nível de exigências e sanções ao descumprimento?
Há uma discussão interna sobre o assunto, em estágio menos avançado do que a questão da dosagem das multas. O porte econômico do negócio é um critério a ser avaliado, mas não o único ou principal para um regime mais diferenciado ou relaxado. Tão ou mais importante do que o porte econômico é entender se a atividade de tratamento de dados é considerada de alto, médio ou baixo risco.
Uma startup, por exemplo, pode não ter faturamento, mas exerce uma atividade de alto risco se atuar na área de automatização de diagnósticos na área da saúde. Nesse caso, a lei tende a ser aplicada de maneira integral. O empresário deve estar atento a isso. Não basta apenas olhar para dentro de casa e achar que o porte econômico será fator exclusivo para um tratamento diferenciado.
Quais serão as principais documentações exigidas pela LGPD?
Quanto maior o risco, maior o peso da regulação. A documentação mais básica é o Registro das Atividades de Tratamento de Dados Pessoais, uma espécie de livro contábil dos dados, em que a organização vai informar as finalidades para o uso de dados pessoais, definir se tem ou não consentimento do consumidor. A mais complexa é o Relatório de Impacto da Produção de Dados Pessoais, que será exigido das organizações que lidam com atividades de tratamento de dados de alto risco. Um setor produtivo, por exemplo, que lide com um alto volume de dados sensíveis, como o da saúde ou de crédito, provavelmente será obrigado a elaborar esse relatório.
Na sua opinião, as empresas brasileiras estão adequadas para cumprir a norma?
Infelizmente, muitas organizações entenderam a LGPD como mais uma lei ou algo para o compliance. É muito mais do que isso. Vejo boa parte das empresas terceirizando, contratando consultorias, e lidando com o assunto como se fosse uma jornada com início, meio e fim para a elaboração de relatórios posteriormente guardados numa gaveta. É um equívoco pensar dessa forma.
As organizações quase sempre irão criar novos produtos, o que exige o tratamento de novos dados e novas práticas para a proteção dessas informações. Não é algo estanque, mas sempre um exercício contínuo.
Qual o principal obstáculo para o cumprimento adequado da legislação?
O principal gargalo, na minha opinião, é o elemento humano, ou seja, quem faz a organização dos dados. Essa tarefa cada vez mais importante a partir de agora exige capacitação, educação, treinamento. Sem a capacitação de profissionais, o que inclui até quem trabalha no departamento pessoal, o time de marketing, de segurança de informação, é impossível criar uma cultura organizacional da proteção de dados. Afinal, a LGPD exige uma nova cultura.
Na esteira da norma surgiu um novo personagem, o DPO (Data Protection Officer). Todas as empresas serão obrigadas a ter um DPO ou encarregado de dados pessoais?
Não. Uma das possibilidades para essa regulação mais flexível e diferenciada voltada às empresas de pequeno porte e que não tenham um risco significativo na atividade de tratamento de dados é a dispensa de um DPO ou de um encarregado. Mas isso não significa que ela não tenha que estar adequada à legislação, que é muito mais ampla e complexa.
Quantas pessoas já foram capacitadas pela escola da Data Privacy Brasil para atuarem como DPO ou encarregado dos dados?
Ao todo, entre 5 mil e 7 mil pessoas já realizaram cursos profissionalizantes ao longo de 3 anos. Alguns cursos já chegaram na 30ª edição. Esse profissional precisa ter um conhecimento interdisciplinar e técnico, envolvendo proteção de dados e privacidade e segurança da informação, entender o que a lei diz. Um diferencial importante se tiver uma formação jurídica ou de compliance.
É um cargo que exige paciência e boas habilidades de comunicação, pois, na prática, o profissional vai lidar com todas as áreas da organização. É raro encontrar profissionais com esse perfil porque não é simples combinar todas as habilidades.
Quantos países possuem legislação específica para a proteção de dados?
Certamente são mais de 100 países. A China acabou de aprovar uma lei sobre proteção de dados pessoais. Com exceção dos Estados Unidos, as principais economias, como Japão, União Europeia, além de vários países latino-americanos, possuem uma legislação específica. A Índia, por exemplo, está discutindo a possibilidade de aprovar lei específica.
Quais as curiosidades da norma brasileira?
A legislação brasileira é interessante, bem balanceada e não é tão detalhista como o regulamento europeu de proteção de dados pessoais. Outro aspecto interessante que, salvo engano, não existe em nenhum país do mundo, é que a norma brasileira prevê a existência não apenas de um órgão regulador de controle, mas também de um conselho multisetorial, formado por representantes de vários segmentos da sociedade. É um órgão consultivo para pensar em políticas públicas nessa área.
E o consumidor? Ele está ciente de seus direitos? Haverá um canal de comunicação para o dono da informação?
Esse canal de comunicação é uma obrigação legal, independente da empresa ter um ou não um DPO. Caso não encontre respostas, o consumidor também pode exercer seus direitos na esfera administrativa, com reclamação na própria ANPD, em outras agências reguladoras, nos Procons e, em último caso, recorrendo ao Poder Judiciário.
Mas ainda vai demandar tempo para que o consumidor esteja plenamente conscientizado. Essa cultura está sendo construída tanto por parte das empresas como por parte dos consumidores. Precisamos articular políticas públicas para essa plena conscientização.