Qualquer tipo de empresa, independentemente da sua natureza jurídica, porte ou segmento, deve se adequar à lei que entra em vigor em agosto
Vanessa Butalla, diretora jurídica da Serasa Experian
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709 entrará em vigor dia 16 de agosto de 2020. As empresas têm poucos meses para se adequarem à uma governança de dados pessoais. Na opinião de Vanessa Butalla, diretora jurídica da Serasa Experian, muitas já estão implantando os projetos para adequação, mas isso ainda está restrito as grandes empresas, que já possuem sistemas e departamentos responsáveis pelas alterações, mas as de médio e pequeno porte ainda estão aguardando as regras menos complexas que serão publicadas. Há a expectativa de ajustes. “Em termos de governança corporativa, o fato da proteção de dados é uma tendência mundial, não só no Brasil, faz parte da responsabilidade social. É uma questão de engajamento da alta direção, que deve dar o tom para toda a organização e definir responsabilidades em conformidade”, diz.
Qualquer tipo de empresa, independentemente da sua natureza jurídica, porte ou segmento, deve se adequar à lei. É claro, segundo Butalla, que aquelas que deixarem para cima da hora poderão ter mais problema, pois não é apenas a implantação de sistema ou delegar a uma pessoa essa atividade, o gerenciamento de dados de pessoas físicas é uma questão de governança, deve estar ligada inclusive ao conselho, a diretoria e a todos os líderes, não somente aqueles que irão operacionalizar a demanda.
“O desafio da adequação a Lei passa pelo mapeamento dos dados pessoais dentro da empresa, de como trata e armazena essas informações. Com isso, fazer a análise se há necessidade de tratamento especial, uma revisão das políticas de dados, implantação de sistema (se houver necessidade), entre outras demandas que podem surgir dependendo do negócio. E por último estipular como será a manutenção. Muitas empresas também podem não estar preparadas financeiramente para essa mudança”, pondera a diretora da Serasa Experian.
A lei engloba todos os dados pessoais que passam pela empresa. Butalla orienta: são dados de funcionários, de fornecedores, de clientes, estamos falando de qualquer dado pessoal que a empresa tenha acesso, movimente ou armazena seja novo ou antigo. Mas de acordo com ela, não impacta o negócio, esse processo não acontece de um dia para o outro, mas é importante, está relacionado com a transparência e deve ser pensado antes, pois muda a forma de entrada e saída, imagina naquelas que não existe apenas um sistema, mas vários. “Em empresas como a Serasa Experian que os dados são o core business já existem políticas de tratamento seguidos há anos com base em modelos internacionais, agora é só uma adequação de acordo com a norma brasileira”, pontua.
O plano de gerenciamento de dados deve estabelecer regras de boas práticas, normas de segurança e mitigação de riscos no uso e no tratamento das informações. No caso de utilização inadequada, violação da privacidade ou vazamentos, a lei estabelece multa que vai até 2% do faturamento anual da companhia, limitada a R$ 50 milhões por infração.
Para a especialista, apesar de o Brasil ter mais de 30 normas que já cobriam o tema, a LGPD é a primeira lei federal específica sobre proteção de dados pessoais, mas não fazia parte do ambiente empresarial, por isso, temos que formar uma cultura e disseminar as práticas para que seja efetiva. Toda a companhia precisa ser treinada. Aqui é diferente da Europa, onde uma lei semelhante entrou em vigor no ano passado, mas a diretiva de proteção de dados é de 1995. Existia uma cultura de mais de 20 anos na proteção de dados pessoais. “Devemos ter atenção à ausência de uma autoridade nacional de proteção de dados, até o momento não existe um órgão responsável que as empresas possam recorrer. É um ambiente de insegurança geral, por isso, tivemos tantos eventos no país para falar sobre o assunto”, finaliza.