LGPD entra em vigor e obriga adaptação rápida de empresas; entenda o desafio
outubro 19, 2020
Lei de proteção de dados tem incertezas jurídicas e de tecnologia, mas instituições precisam encontrar caminho para garantir compliance.
Alex A

Após anos de debate, a Lei Geral de Proteção de Dados (LGPD) finalmente foi sancionada e entrou vigor em todo o território nacional em 18 de setembro de 2020. Mas a publicação da lei não diminui o grau de incerteza das empresas sobre questões técnicas e jurídicas da nova legislação.

Na verdade, a LGPD, da maneira como foi publicada, traz mais dúvidas do que certezas, aumentando o desafio das empresas sobre como se adequar às regras.

As certezas sobre a lei estão em seu objetivo principal: transformar o cidadão em titular de seus dados e tornar as instituições públicas e privadas responsáveis pelo ciclo desses dados na organização, incluindo coleta, tratamento, armazenamento e exclusão. Quem não se adequar está sujeito à multa, que pode ser de até 2% do faturamento da empresa, com teto de R$ 50 milhões.

Mesmo com as indefinições, as empresas não têm outra alternativa a não ser se ajustar à lei e precisam fazer isso desde já.

A busca por um direcionamento

Alex Amorim, especialista em segurança da informação, conhece vários lados dessa ansiedade. Como head de segurança do grupo de educação Cogna, ele precisou pensar em como ajustar a empresa às exigências da nova lei e, como presidente do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (IBRASPD), fundado no ano passado por especialistas das áreas de privacidade e proteção de dados, de forma colaborativa, justamente para buscar padrões e direcionamento para as empresas na resolução dos desafios da LGPD.

O instituto tenta preencher um vácuo deixado pela ausência da Autoridade Nacional de Proteção de Dados (ANPD), que está prevista pela lei, mas ainda não foi criada pelo governo federal. A ANPD será responsável por fiscalizar a aplicação da LGPD nas instituições e aplicar multas no caso de violações.

Amorim relata que muitas empresas imaginaram que a vigência da lei seria prorrogada para 2021, tanto por conta dos atrasos na estruturação da ANPD, quanto pela crise do coronavírus. A pandemia também fez com que as instituições priorizassem planejamentos emergenciais para sobreviver ao período de contingência. A preocupação com a LGPD ficou para depois.

“As empresas precisarão atender minimamente algumas demandas. Se elas não tiverem um espaço no site onde o titular possa fazer a requisição dos dados, por exemplo, ela pode ter problemas”, diz Amorim.

Por onde começar?

Segundo o presidente do IBRASPD, as empresas precisam, nesse primeiro momento, expor de forma clara a sua política de privacidade, quais cookies são coletados no site e por qual canal o titular poderá solicitar os seus dados. Além disso, elas também devem apontar um DPO (Data Protection Officer) para cuidar da política de privacidade.

Amorim diz ter percebido o surgimento de soluções ditas “milagrosas” que garantem 100% de compliance com a LGPD em uma semana, mas essas projeções não são realistas. “É impossível ter 100% de compliance tão rapidamente. Não há nenhuma ‘bala de prata’ que vai resolver todos os problemas de uma vez.”

Vitor Sousa, sócio-fundador e COO da Digibee, vê o mercado geral ainda num momento de entendimento jurídico sobre a LGPD antes de conseguir solucionar as necessidades técnicas de adequação à lei. Mas o desafio tecnológico já é evidente e precisa ser endereçado num segundo momento.

“As empresas precisam ser capazes de rastrear os dados e saber como eles estão sendo utilizados nas ‘entranhas’ do sistema. Normalmente, os sistemas são como ilhas, compartilhando os dados dentro das aplicações e as empresas não têm gestão disso”, explica Vitor.

Com a LGPD, as instituições precisarão saber exatamente em quais sistemas o dado do usuário está sendo utilizado e se esse uso está de acordo com a lei. “Elas terão que adequar as aplicações. Essa é uma jornada longa e difícil, porque as aplicações foram criadas quando ninguém se atentava a essa questão”, acrescenta o COO da Digibee.

Uma adaptação mais rápida

“Eu sei que os sistemas legados existem há centenas de anos. Mas, no fim do dia, a lei serve para todos e deve ser atendida”, diz Alex Amorim, ressaltando a dificuldade que as empresas terão em adaptar sua infraestrutura à LGPD. “Por isso, há soluções no mercado que podem facilitar esse caminho.”

Para o presidente da IBRASPD, soluções que mapeiam e estruturam base de dados podem facilitar bastante a jornada das empresas. É o caso também de soluções de workflow, que centralizam as requisições feitas por titulares de dados.

“As soluções tecnológicas vão contribuir para que a LGPD seja cumprida de forma mais rápida.”, afirma. “Eu posso criar internamente uma barra de privacidade, mas quanto tempo isso vai demorar? Por que não utilizar um parceiro que já tenha essa solução? Esse custo-benefício tem de ser muito bem analisado pelas empresas. Os parceiros podem acelerar a adaptação ao compliance.”

Uma plataforma de integração híbrida (HIP), como a da Digibee, pode ser uma importante ferramenta de controle e auditoria dos dados, trabalhando em conjunto com as ferramentas especializadas de LGPD. As HIPs podem, por exemplo, alimentar, online, as ferramentas de governança de LGPD com informações que estão trafegando entre os diversos sistemas e são escopo da lei. Podem também identificar “origens” e “destinos” das informações e manter a integridade das informações. Este tipo de uso das HIP certamente irá facilitar a governança dos dados e a vida do DPO, que terá uma visão central do uso dessas informações.

“O lado positivo de uma HIP é que as empresas, sem precisar criar novas infraestruturas, conseguem alimentar as ferramentas de LGPD com as informações necessárias para poder governar o dado de acordo com o que é pedido pela lei”, diz Vitor. “O DPO poderá ter muitas dificuldades se não contar com uma ferramenta como essa”, acrescenta.

De olho na evolução da LGPD

Resolvendo parte dos desafios tecnológicos, as empresas podem se dedicar a compreender melhor a LGPD, principalmente no que diz respeito à responsabilidade sobre a coleta e o armazenamento de dados, que precisam estar consentidos pelos usuários e protegidos contra vazamentos. “A empresa que capturou e armazenou as informações com o consentimento do titular é a responsável pelos dados. Por isso, precisam acompanhar, no detalhe, a evolução da LGPD”, afirma Fernando Gazaffi, chefe do departamento jurídico da Digibee.

Quando a lei e as empresas estiverem amadurecidas nessa trajetória, a expectativa é de uma evolução tanto em termos de governança nos meios digitais, quanto de empoderamento do usuário, que terá independência para concordar ou não com a utilização de seus dados. Mas, segundo Vitor Sousa, o Brasil ainda está nos primeiros capítulos de uma longa história.

“Me parece um avanço importante para a sociedade. Mas temos que observar muito bem como serão essas implementações e como ficará a interpretação da lei, tirando o máximo proveito dos aprendizados nesse processo. É uma jornada bastante longa”, conclui Vitor.

Report: Como e por que o omnichannel inaugurou um novo varejo

Share This