Uma grande mudança impactará nos negócios a partir de agosto de 2020. A Lei 13.709 - Lei Geral de Proteção de Dados Pessoais (LGPD) -, passará a regulamentar todo o processo e cuidado referente aos dados pessoais, desde sua captação, armazenamento, processamento, finalidade e proteção. Seja em âmbito físico ou digital.
"As mudanças necessárias para o atendimento da lei definirão um novo sistema organizacional nas empresas, não restrito a área de TI e jurídica", afirma o diretor da Squadra Gestão de Riscos, Leandro Longhi. Segundo Longhi, as alterações vão desde as estruturas hierárquicas, composições estruturais em departamentos, novos cargos e funções, políticas, diretrizes, processos, regulamentações internas, auditorias, compliance e risco, cultura e treinamento, planos de contingência e na relação da empresa com o mercado como um todo.
Mesmo a lei não determinando, de forma específica, as ações a serem adotadas, Longhi conta que ela aponta as diretrizes e, em poucos casos, consegue-se ter descrições mais discriminadas. Ele também acredita que o detalhamento maior será trazido após a criação da Autoridade Nacional de Proteção de Dados (ANPD) na formulação da Política Nacional de Proteção de Dados Pessoais e Privacidade.
"Todas as empresas que operam no mercado brasileiro, sejam elas de capital nacional ou estrangeiro, com subsidiária ou matriz no país, devem atender a nova regulamentação", explica o especialista em gestão de riscos. Ele lembra que as companhias brasileiras que atuam na Europa já estão operando e sujeitas a normativa da Legislação Europeia de Proteção de Dados (GDPR), que vigora desde 2016.
No campo organizacional, segundo Longhi, a empresa deverá estabelecer todo o processo de proteção de dados, com funções operacionais, regras, descrições, protocolos e demais atribuições administrativas, seguidas por toda a empresa. "O monitoramento dos riscos e fragilidade do sistema deve ser constante", aconselha e lembra que, em caso de vazamento de dados pessoais, é necessário um plano de comunicação e um plano de contingência para conter possíveis incidentes. E que tudo isso ajudará a minimizar a pesada multa de até 2% do faturamento, limitada, no total, a R$ 50 milhões por infração.
JC Contabilidade - Quais são as principais mudanças da LGPD?
Leandro Longhi - A partir de agosto de 2020, a LGPD passará a regulamentar todo o processo e cuidado referente aos dados pessoais, desde sua captação, armazenamento, processamento, finalidade e proteção, ou seja, todo o tratamento de dados pessoais seja em âmbito físico ou digital. As principais mudanças dizem respeito à necessidade de adaptação da estrutura funcional e operacional da empresa, que terá de rever seus processos internos que tenham o fluxo de informações pessoais e gerar as adaptações necessárias. Além disso, inúmeros protocolos deverão ser criados para atender à legislação, tais como obter a anuência da pessoa até o registro da operação com os dados processados.
Contabilidade - Ela é relevante para o ambiente de negócios brasileiro?
Longhi - Era uma necessidade do mercado, tendo em vista o avanço tecnológico e a falta de regulamentação sobre o uso das informações pessoais. Em primeiro lugar, hoje o vazamento e manipulação maliciosa de dados representa um dos principais riscos corporativos, segundo o Global Risks Report de 2019. Atualmente, os dados são considerados um dos ativos mais valiosos do mercado.
Contabilidade - Que mudanças devem ser feitas dentro das empresas para atender à nova legislação?
Longhi - As mudanças organizacionais necessárias para o atendimento da lei definirão um novo sistema organizacional não restrito à área de TI e jurídica, mas trazendo mudanças nas estruturas hierárquicas, composições estruturais nas áreas e departamentos, novos cargos e funções, políticas, diretrizes, processos, regulamentações internas, auditorias, compliance e risco, cultura e treinamento, planos de contingência e na relação da empresa com o mercado como um todo. Será uma mudança abrangente, sistêmica e cultural. No centro de toda essa transformação estão as empresas e sua relação com o mercado e seus agentes. A empresa terá de rever todo processo de tratamento de dados na sua cadeia produtiva, tendo em vista que toda a pessoa tem controle sobre seus dados pessoais e o direito de saber como as informações coletadas serão usadas pela empresa, e sempre mediante sua autorização.
Contabilidade - Há setores que serão mais impactados? Quais?
Longhi - As empresas que têm como atividade principal o processamento de dados são as que terão de ter um cuidado ainda maior no compliance da LGPD. Elas serão o principal alvo da ANPD (Agência Nacional de Proteção de Dados). E as empresas que tratam com os dados sensíveis, tais como: racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado à pessoa, perfil comportamental.
Contabilidade - Você acredita que as empresas brasileiras, em sua maioria, estão prontas para isso?
Longhi - Não estão prontas e, como é a cultura do país, estão deixando para a última hora. Tendo em vista o elevado nível de mudanças a serem realizadas, este processo já deveria estar em andamento. De acordo com a recente pesquisa realizada pela Serasa Experian, 85% dos empreendimentos entrevistados disseram que ainda não conseguem garantir todas as obrigações da lei. Como essa pesquisa foi realizada através de perguntas e respostas com executivos das empresas, e não com avaliações de internas de compliance com a lei, particularmente, acredito que esse número é ainda maior.
Contabilidade - Como você indica que deve ser a adesão à nova lei? Tem metodologias que você indica para trazer segurança às organizações de que estão no caminho certo?
Longhi - Nosso ponto de partida para essa adequação é a própria Lei. Ela não determina, de forma específica, as ações a serem adotadas pela empresa para a proteção dos dados, mas aponta as diretrizes e, em poucos casos, consegue ter descrições mais detalhadas. Três fatores são importantes para estabelecer os critérios internos da empresa para a implantação das medidas de proteção de dados, segundo a LGDP, são programa de governança em privacidade, boas práticas, sanções. Também será necessário criar o Comitê de Implantação, formado por equipe multidisciplinar com colaboradores internos e externos que darão vida ao planejamento. Este comitê e suas equipes serão os responsáveis pela criação e implantação de todas as estratégias e ações definidas pelo Conselho e dará o report da evolução desta.
Contabilidade - A lei prevê três profissionais diretamente responsáveis pelo processamento de dados e sua proteção: controlador, operador e encarregado. Quais as atribuições de cada um deles? São profissionais que já estão no mercado ou se trata de especializações que devem surgir com a novidade?
Longhi - Caberá a empresa também desenvolver sua área ou setor que será responsável pelo tratamento e proteção dos dados pessoais, ou vinculá-la a outro setor da empresa. Lembrando que a lei prevê três profissionais diretamente responsáveis pelo processamento de dados e sua proteção: controlador, operador e encarregado. O controlador será responsável pelas instruções e orientações operacionais, por tomar as decisões sobre a atividade de tratamento e por definir processos e dados necessários a serem coletados e tratados. A ele também cabe a função de gerar o relatório de impacto à proteção de dados pessoais, que será exigido pela ANPD. Já o operador processará o tratamento de dados segundo as instruções do controlador. E o encarregado terá o vínculo com os proprietários dos dados e ANPD, além da atribuição da relação com os colaboradores da empresa no sentido de orientá-los na condução operacional dos dados.