Investir tempo e recursos no inventário de dados e em capacitações e campanhas de conscientização de todos os colaboradores. Estas são as premissas básicas para o cumprimento da Lei Geral de Proteção de Dados, que entrou em vigor em agosto deste ano. A opinião foi unânime por parte dos especialistas que participaram do webinar sobre o tema na última quarta-feira (20 de outubro), promovido pela Rede Paranaense de Compliance, uma iniciativa do Sistema Fiep, em parceria com o Cifal Curitiba e o Unitar, órgãos vinculados à ONU. O evento reuniu representantes de empresas que já iniciaram a adequações para o cumprimento da LGPD e puderam falar sobre as lições aprendidas ao longo desse processo.

O encontro teve a mediação de Rodrigo Milo, sócio de Cyber Security da KPMG Brasil. Ele lembrou que a lei entrou em vigor em agosto deste ano. “Por conta da situação atípica da pandemia, havia uma expectativa de que a lei fosse postergada, mas isso não ocorreu e ela entrou efetivamente em vigor. Portanto, é ainda mais oportuno e necessário o nosso debate”, frisou.  

“Invista tempo na capacitação das equipes em todos os níveis e na disseminação da cultura da proteção de dados. Isso é fundamental”, disse Andre Rosa, consultor de Riscos e Compliance do Sistema Fiep. “A questão é cultural e está relacionada diretamente ao comportamento dos colaboradores”, destacou Rosa, acrescentando que esta é uma das lições aprendidas no processo de implantação da LGPD, que no Sistema Fiep iniciou em março de 2019.

“Catalogar os dados é um desafio, é algo que eu recomendo que seja dispendido energia, tempo e recursos. Se necessário até investir em um sistema para gerenciamento porque vale a pena ter todos os dados catalogados”, pontuou Marcel Nascimento Faigle, advogado sênior corporativo e compliance na Volvo. De acordo com ele, essa atitude serve até mesmo para uma eventual defesa da empresa em caso de necessidade porque prova que a organização agiu de boa fé. O representante da Volvo destacou ainda a importância de compor um time multidisciplinar para a governança da LGPD.  “Não pode ser só o jurídico ou só o pessoal de TI. Tem que envolver estas duas áreas e outras porque uma área complementa a outra”, explicou.

No caso da Volvo, o fato de ser uma multinacional foi um facilitador. “A proteção de dados já era uma realidade na Europa há alguns anos, com a GDPR (General Data Protection Regulation), mas como cada país tem suas particularidades também tivemos alguns desafios”, disse o consultor. Marli Corrêa, gerente jurídica e de compliance da empresa disse que a questão é tão cultural que internamente era comum ouvir o seguinte comentário: “Será que no Brasil esta lei vai pegar?”. 

“Implantar a LGPD é como abraçar a incerteza”, disse Vinícius Gehlen, gerente de privacidade de dados na Philip Morris para a América Latina e Canadá. Ele observa que no Brasil a questão da privacidade é algo muito novo. “Não temos aqui as antigas legislações como na Europa e temos que implantar algo que já vem com grandes lacunas como é o caso da Autoridade Nacional de Proteção de Dados (ANPD), cuja função é fiscalizar o cumprimento da lei e ainda não foi criada”, pontuou. “Sabemos que a lei que estamos implementando hoje no Brasil vai ter mudanças e isso é muito difícil. Portanto, temos que ter em mente que isso é algo vivo, que estará sendo passando por mudanças e sendo aprimorado”, destacou.

Estrutura interna ou externa

Outra questão que gera dúvida e que foi debatida no encontro é a definição do Encarregado de Dados, o chamado DPO. A lei prevê que a empresa nomeie um DPO e isso é uma das primeiras providências no processo de implantação da LGPD.  O DPO pode ser um colaborador da própria organização, portanto uma solução interna, ou um terceiro, alguém contratado fora para desempenhar esta função.

Todas as empresas que participaram do encontro relataram que a opção foi por uma solução caseira. “No Sistema Fiep, optamos pela função internalizada”, disse Rodrigo Zani, gerente de riscos e compliance da organização. Segundo Zani, as análises e pareceres do DPO são gerados em um trabalho conjunto entre as áreas de Riscos e Compliance, Tecnologia de Informação (TI) e Jurídico, e também representa uma frente institucional de comunicação e informação sobre a lei, com interface com as áreas de RH, Marketing e Comunicação.  

A Philip Morris também buscou uma solução interna.  “A estrutura do DPO fica dentro da área de informática, mas onde está localizada é o menos importante. O que importa é a integração”, destacou Valeska Chrestani, gerente jurídica na Philip Morris Brasil. De acordo com ela, a partir da existência da LGPD, um contrato ou um aditivo de contrato feito só pela equipe jurídica está fadado ao fracasso. “A construção pode ser mais jurídica, mas tem outra parte tão importante e necessária que envolve a questão da tecnologia da informação, como saber, por exemplo, como os dados estão sendo armazenados num local seguro, como está o controle de acesso a esses dados. Por isso, é necessária a participação de uma equipe técnica para dar estas garantias. São questões técnicas que um advogado não vai conhecer”, esclarece.

Na Adama, indústria multinacional do segmento agroquímico, com matriz em Israel, a questão da LGPD começou a ser tratada na unidade brasileira, em 2018.  “No nosso caso optamos por deixar a estrutura dentro do departamento jurídico. Por se tratar de uma nova lei entendemos que seria o mais adequado”, disse Elcyo Farias, coordenador de TI na empresa.

Segundo ele, o DPO tem dois papéis: um mais consultivo, com orientações e outro que é o dia a dia, responde por questão de dados dentro da empresa. “O desafio é o mesmo para todos. É tudo muito novo, estamos descobrindo coisas que nem sabíamos que existia e tem impacto em todas as áreas”, comentou.

Faria diz que a dica que ele dá para quem está começando a implementar a LGPD é ler a lei em parceria com o jurídico e a área de TI. “Isso fundamental para entender a lei”, disse. Só depois deve-se estabelecer um plano de governança, um planejamento e o estabelecimento das prioridades”, recomenda. 

André Rosa, do Sistema Fiep, incluiu também a importância de envolver os fornecedores das empresas. “Estamos convidando nossos parceiros de negócios para reuniões, compartilhando nossas ações e esforços. Deixando claro o posicionamento da instituição”, disse. Ele acrescentou ainda que o comportamento ético é esperado de todos, colaboradores de todas as áreas e níveis e também dos parceiros comerciais.

Rede Paranaense de Compliance

A Rede Paranaense de Compliance reúne empresas com operação no estado do Paraná e foi constituída em 2018 com o objetivo de disseminar a cultura de compliance, compartilhando informações alinhadas aos movimentos e novas práticas do mercado. Para conhecer mais acesse https://www.sistemafiep.org.br/rede-compliance/.

Se você não acompanhou o webinar pode assistir abaixo: