A preocupação com a privacidade como pauta de uma cultura intrínseca das organizações

MicrosoftTeams-image (48)

“Privacidade e proteção de dados pessoais precisam estar dentro dos valores e cultura das empresas. É uma questão de cumprimento de direitos e garantias fundamentais e de competitividade, e não de um cálculo binário de risco de eventuais sanções administrativas, mesmo que a Autoridade Nacional de Proteção de Dados deva começar em breve a atuar também no pilar de sancionamento”. Essa ponderação foi feita por nosso sócio Rony Vainzof durante a live “Governança em Privacidade e a Jornada de Conformidade”, realizada no dia 20 de abril em nosso canal do YouTube, que contou também com as participações do nosso sócio Henrique Fabretti Moraes, bem como da Legal Superintendent – Digital and Data Protection do Banco Santander, Myreilla Aloia, e da Legal Director e DPO do Grupo Globo, Andreia Saad.

No evento virtual foram debatidos os principais desafios da jornada de conformidade das empresas com a LGPD (Lei Geral de Proteção de Dados), após o processo inicial de adequação. Para Vainzof, “a continuidade de conformidade com a legislação está pautada na gestão dos programas de privacidade e governança”. O advogado destacou, ainda, que todo esse processo se trata de um novo compliance, ligado à proteção de dados pessoais. “Por isso não existe um projeto de adequação e, sim, uma jornada contínua”.

A executiva do banco Santander, Myreilla Aloia, explicou durante a live como a instituição financeira lidou e tem lidado com o processo de adequação às regras de proteção de dados. “No nosso caso de instituição financeira, dados protegidos pelo sigilo bancário, informações protegidas pelo segredo de negócio, são algumas de nossas preocupações quando falamos em proteção de dados. É um campo muito maior do que apenas a LGPD”, destacou. Já sobre a jornada de conformidade, ela ressaltou que se trata de ação conjunta entre estar em conformidade com a lei e manter a governança em privacidade ativa.

“É indispensável destacar que isso é aplicável tanto à jornada da empresa quanto aos direitos dos titulares e a todas as questões de dados pessoais dispostos na LGPD, independentemente do tamanho da empresa. A regulamentação para empresas de pequeno porte trouxe alguma flexibilidade, mas não dispensou a conformidade com a lei”, afirmou Myreilla. Ela ainda chamou a atenção daqueles que não deram o pontapé inicial a essa preocupação: “Se alguém falar agora que não tem uma governança em privacidade e proteção de dados na empresa, sinto dizer que está bastante atrasado”.

Já a DPO do Grupo Globo, Andreia Saad, afirmou que, dentro da empresa, a preocupação com as regras de privacidade e proteção de dados, pautadas especificamente na LGPD, tiveram início em 2019. Entre os objetivos estavam, à época, acelerar o processo de digitalização para se tornar mediatech e fazer transição para um perfil to see direct consumer (D2C). Segundo ela, para fazer todo esse caminho, foi necessário pensar em proteção de dados.

“Quando a LGPD foi sancionada, nós nos reunimos para dar início ao programa de privacidade. No final de 2019, designamos um DPO, que era uma pessoa de tecnologia. Depois, foi formado um time exclusivo para privacidade. Em 2020, a empresa passou a executar processos e políticas para implementar os remédios estabelecidos para proteção dos dados e da privacidade, garantindo o cumprimento da LGPD. Por fim, 2021 foi o ano de implementação desses processos, quando eu assumi o cargo de DPO”, explicou a executiva, que ressaltou que todos os procedimentos são mantidos para garantir a conformidade com a lei.

Atraso

A eficácia da LGPD, para Myreilla Aloia, foi tardia, levando em consideração que outras grandes nações já possuíam leis robustas de proteção de dados. “O Brasil chegou em uma situação crítica como um dos últimos países a ter uma lei de proteção de dados. Com isso a gente perdia negócios. Nós precisávamos ver a legislação como uma oportunidade de negócios e não como uma restrição ao uso de dados”, destacou.

Nosso sócio Rony Vainzof complementou, dizendo que, antes da LGPD, era necessário alinhar as regras de privacidade a partir das diversas legislações que tratavam sobre o tema. “Precisávamos pincelar várias legislações para provar que não éramos um território sem lei de privacidade e proteção de dados. Finalmente, temos agora um padrão que é praticamente global”.

Ainda de acordo com Myreilla, “o conceito de proteção de dados tem de estar presente desde o comitê executivo até a ponta da empresa, sendo necessário definir estratégias, prioridades, atualização dos documentos de privacidade, política, contratual, entre outros, dentro e fora de casa [da organização]”. Para Vainzof, tratando especificamente da vivência do Santander, “essa atuação prática de um banco, por meio da multidisciplinaridade de atuação envolvendo o tema da proteção de dados, é muito relevante”.

Custo e burocracia

Na live também foi debatida a dificuldade de algumas empresas em manter em pleno funcionamento um programa de governança em privacidade e proteção de dados. Saad explicou que “talvez a lição mais dura aprendida por ela é que esse programa custa dinheiro e tempo, porque não estamos falando de atualização de uma política de privacidade, apenas. Precisamos falar de mudança procedimental, organizacional e cultural”. A executiva ressaltou que “um DPO não faz sozinho um programa de privacidade”, sendo necessário um time para atuação conjunta, composto por profissionais de Compliance Ética, Segurança da Informação, inclusive por acionistas da empresa e colaboradores.

Quanto à burocracia que regras de privacidade possam trazer a uma organização, nosso sócio Henrique Fabretti afirmou que é possível estruturar um programa de privacidade que traga menos entraves nos processos internos, desde que a governança seja bem planejada e os colaboradores estejam treinados. “É necessário desmistificar essa ideia e mostrar que há um caminho para que qualquer empresa possa criar e manter um programa de privacidade e proteção de dados que não torne o negócio lento, sem agilidade. Para Rony Vainzof, “esse é um dos principais desafios, que diz respeito às tarefas complexas para implementação e manutenção dos programas de privacidade e proteção de dados”.

Para concluir, Andreia Saad ressaltou que não basta a empresa implementar um programa de governança; ela precisa explicar como essas atividades são desempenhadas, tanto para a ANPD quanto para os próprios colaboradores e para os titulares dos dados. Vainzof finalizou dizendo que a ANPD chegou para defender um processo de aculturamento da privacidade, adotando posicionamento relevante para que não se tenham efeitos negativos a tudo o que tem sido construído no país.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp