LGPD: você está (realmente) preparadx para o que vem pela frente?

Por Paulo Centenaro, 10 de junho de 2019

Por: Alethéia Rocha

Agosto de 2020 é a data da verdade. Literalmente. A partir daí todos nós passaremos a ter ainda mais direito sobre nossos dados. E, por consequência, mais deveres serão exigidos das empresas. Sim, é quando a Lei Geral de Proteção de Dados (LGPD) entrará em vigor no Brasil seguindo o exemplo europeu de regulamentar a captação, processamento e uso de dados. Passou ontem pela Câmara dos Deputados* e seguirá para aprovação no Senado. Daí que a jornada para a nova era dos dados vai ser desafiadora. E é bom que todos nós estejamos preparados. Vamos a alguns pontos?

Acompanhei o evento da Associação Brasileira dos Agentes Digitais (Abradi), realizado em maio, sobre o tema. Alto nível, especialistas de primeira. Nele, esclareci muitas questões, mas saí de lá com uma dúvida: será que estaremos realmente preparados em agosto de 2020? Esse tempo parece tão curto diante da complexidade de ações, de mercados, de perfis de empresas e, enfim, de dados que precisam de ajustes.

Ouvi, por exemplo, que há uma série de pontos a serem levados em consideração para que uma empresa cumpra a lei. Um deles é o fato de que, cada vez mais, será necessário captar os próprios dados já que essa é a forma mais confiável de saber que a lei está sendo cumprida; ou contratar fornecedores que tenham políticas claras de proteção de dados. Afinal, o que não estiver em compliance com a nova legislação, não poderá ser utilizado.

Neste ponto, ainda existem dúvidas como: quem é o dono do dado, a empresa que faz a venda final do produto ou serviço tem direito de utilizá-lo ou isso ficará com aquela que é proprietária original (a concessionária ou a fabricante do carro, p. ex)?

Há muitas sombras precisando de luz nesta discussão, mas o fato é que a legislação tem data para entrar em vigor, esse prazo está se aproximando e as companhias precisam ter-se adequado até lá para não sofrerem penalidades (ok, aqui, outro ponto em discussão, já que a fiscalização precisará ser robusta…).

Onde procurar informações?

A Abradi lançará cartilha sobre a lei em breve. O objetivo é ser mais um apoio aos agentes digitais em complemento ao aconselhamento jurídico já disponível a quem faz parte dela.

A LGPD, para a associação, permite maior segurança jurídica aos players do mercado, evitar a violação da honra e da imagem, define direitos do consumidor e muda a forma como as empresas abordam a gestão de dados pessoais ao exigir transparência e honestidade.

A entidade vê a lei como uma oportunidade e cumpre seu papel ao incentivar (e empoderar) os agentes digitais a anteciparem-se com a oferta de produtos e serviços já baseados nas novas exigências. Como benefícios, além do compliance há, por exemplo, a possibilidade de acesso ao mercado internacional ao mostrar o valor dos dados captados/transacionados dentro da lei.

Outra iniciativa que merece ser citada é o material produzido pelo Machado Nunes, escritório de advocacia especializado em saúde, com uma consultoria parceira, a MF Marketing: uma cartilha lançada durante a feira Hospitalar 2019. Além de informações gerais sobre o tema, há também orientações para o segmento de saúde, algo bem-vindo se considerarmos as particularidades de serviços que podem salvar vidas.

Mercado de saúde

Nesta área, onde tenho maior atuação, a discussão sobre o tema também vai longe. Entidades como a Associação Nacional dos Hospitais Privados (Anahp), Abramed**, Interfarma, Sociedade Brasileira de Informática na Saúde, entre outros, estão buscando caminhos para apoiar os players.

Anahp** também está produzindo um manual para sugerir como os hospitais podem implantar a lei, que demandará o apoio de diversos setores, como TI, jurídico, diretoria técnica etc. A Agência Nacional de Saúde Suplementar (ANS) deve “soltar” parecer sobre a lei apenas para citar alguns exemplos. E, esperamos, que todos os representantes do segmento de saúde sejam ouvidos pelo que virá a ser a Autoridade Nacional de Proteção de Dados que, aliás, é muito aguardada por todos, pois ainda não está constituída.

Especialistas do setor acreditam que foi estabelecido pouco tempo para implantação da lei, principalmente em um país “continental” (e, em muitos aspectos, menos estruturado) como o Brasil. Há, por exemplo, que se entender como atender à exigências da lei sobre quando um paciente decide revogar o uso dos dados ou oferecê-los apenas parcialmente.

Para finalizar, reúno aqui algumas orientações básicas para que as empresas cheguem a 2020 prontas para essa nova, e tão importante, era do uso de dados:

  • Política de privacidade: deve ser totalmente revista. Será necessário informar claramente como o dado será armazenado e utilizado. Só assim, a empresa passa a ter autorização para aproveitá-lo, e apenas para o objetivo relatado previamente ao consumidor.
  • Segurança da Informação: outro ponto fundamental, já que a captação, armazenamento e transação dos dados deve estar protegida. Vulnerabilidades podem custar muito caro às empresas. Agora é a melhor hora para dar um upgrade na sua “Segurança da Informação”.
  • Política corporativa: estabelecer as regras para funcionários e parceiros. É preciso assumir a responsabilidade de definir como será o compliance de todo o ecossistema que tem acesso aos dados dos seus clientes. E garantir que isso seja cumprido, pois em caso de problemas, todos poderão ser responsabilizados – mesmo que seu contrato com parceiros diga o contrário.
  • Cultura da privacidade: não adianta trocar sistemas, criar novos workflows e ajustar contratos com fornecedores se os seus funcionários não criarem o mindset de cuidado com os dados sigilosos de clientes. Sem adesão da equipe, sua empresa estará em risco.
  • Divulgação de informações: não será mais permitido estruturar um conteúdo com dados epidemiológicos, usando um exemplo do segmento de saúde, sem que o paciente tenha consentido esse uso previamente. Em outras palavras, vale reforçar que, ao montar sua política de uso de dados, você deve informar para que eles serão utilizados e não fugir do que foi “combinado”. Qualquer “desvio” de uso deve ser revalidado com o consumidor.

É hora de entendermos que é preciso “virar a chave” e aproveitar o melhor daquilo que a lei trará para o mercado. Quem, dentro do ecossistema da informação, entender mais rápido e souber usar as oportunidades a seu favor, provavelmente alcançará muito sucesso. Pelo que tenho ouvido por aí, porém, ainda há muitas empresas cuidando de um ponto: revisão de contratos…

O assunto é complexo. Certamente, não é possível tratar dele em um único conteúdo, mas vale pesquisar para se preparar. Por isso, deixei algumas dicas de referência com materiais que devem ser disponibilizados logo mais, além de matérias que tratam do tema aqui no final texto.

O tempo, porém, está passando. Daí que encerro meu raciocínio com um questionamento semelhante ao que coloquei no título: e sua empresa, o que tem feito hoje para surfar a onda da LGPD em 2020 (ou antes)?

* Conjur

** Evento Abramed aqui, aqui e aqui.

Cartilha Abradi: acompanhar publicação no site da associação.

Cartilha Machado Nunes: acompanhar publicação também no site.