Entramos na contagem regressiva de um ano para a entrada em vigor – no dia 14/8/2020 – da Lei Geral de Proteção de Dados1 ("LGPD"), já considerando o prazo adicional de seis meses proporcionado pela Medida Provisória 869/2018, convertida na lei 13.853/2019.
Transcorrido mais da metade do período de vacatio legis, constata-se que a grande maioria das empresas ainda não iniciou o processo de adequação à LGPD. Muitas se questionam se a LGPD não irá cair no ostracismo, como tantas outras normas que são letra morta no país, rendendo-se ao fenômeno que os americanos denominam backlash, ou seja, leis que, por estarem de alguma forma dissociadas da razoabilidade ou do senso comum, acabam sendo sistematicamente descumpridas.
Definitivamente, não será este o caso da LGPD, que não é fruto de mero oportunismo ou conveniência política, tampouco encontra-se divorciada da realidade; ao contrário, advém de uma exigência mundial de mercado, de conferir maior segurança e transparência ao tratamento de dados pessoais, que, aliado ao atual – e crescente – grau de desenvolvimento tecnológico, se tornou poderosa ferramenta de profiling, isto é, de monitoramento centrado de pessoas para, com base em algoritmos complexos, criar modelos ou perfis de comportamento.
São inúmeras as aplicações do profiling, estando presente em diversas atividades do nosso cotidiano, tais como na oferta de bens e serviços, no controle e segurança de espaços com grande circulação de pessoas e na análise de crédito.
Diferente do que muitos imaginam, tal preocupação não é nova. A proteção de dados pessoais é regulamentada na Europa desde a década de 1970, quando foi instituído o Ato de Proteção de Dados de Hesse, na Alemanha, e em âmbito transnacional desde da década de 1980, quando o Conselho da Europa aprovou a Convenção 108 para a proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal. Mas a regulamentação do tratamento de dados pessoais não foi uma iniciativa exclusiva da Comunidade Europeia. Na América do Sul, por exemplo, Argentina, Chile, Uruguai, Colômbia e tantos outros países já dispõem de normas nesse sentido, algumas vigentes desde a década de 1990.
Tudo leva a crer, portanto, de que a LGPD será largamente fiscalizada e aplicada, não apenas por reciprocidade às legislações estrangeiras, que para a transferência internacional de dados pessoais exigem dos países receptores o mesmo grau de proteção e garantia, mas sobretudo por uma exigência de mercado e da própria sociedade, que paulatinamente vem se conscientizando do valor, das possibilidades e, sobretudo, dos riscos associados ao tratamento de dados pessoais.
Aliás, a LGPD também tende a exercer papel educador2, gerando um processo de aculturamento dos brasileiros acerca dos direitos e obrigações inerentes à proteção de dados, num fenômeno semelhante ao ocorrido com o Código de Defesa do Consumidor que, passados quase trinta anos de sua entrada em vigor, trouxe enorme conscientização da sociedade acerca de seus direitos e obrigações enquanto consumidores.
Nesse contexto, estar em conformidade com a LGPD ultrapassa o aspecto da mera legalidade para se tornar verdadeiramente uma vantagem competitiva entre as organizações, na medida em que as pessoas tenderão a preferir manter relacionamento comercial com aquelas empresas que lhes garantam transparência, privacidade, controle e segurança no tratamento de seus dados. Focar na experiência do consumidor é um diferencial competitivo.
Não se trata, pois, de cumprir o mínimo para estar aderente à lei, mas de encarar a LGPD como uma oportunidade para rever modelos de negócio e desenvolver novos produtos, ciente de que os conceitos de privacy by design (priorização da privacidade do dado de ponta a ponta, desde a concepção do produto ou serviço, conferindo segurança ao dado durante todo o seu ciclo de vida, da coleta à eliminação) e de privacy by default (configuração padrão deve assegurar o máximo de privacidade ao titular, coletando apenas os dados essenciais à entrega do bem ou prestação do serviço), muito mais do que uma exigência legal, representam uma expectativa crescente e legítima do cliente.
Já do ponto de vista interno, a aderência à LGPD propiciará a implementação de uma cultura corporativa voltada para o tratamento ético, seguro e otimizado de dados, desvencilhando-se da atual praxe de algumas empresas, de coletar o maior volume possível de dados pessoais, sem qualquer critério e sem sequer atentar para a real utilidade dos dados coletados.
Ao buscarem efetivo alinhamento com os limites impostos pela LGPD, as empresas terão a oportunidade de construir um banco de dados mais eficiente e menos custoso, centrado apenas nas informações que tenham utilidade prática, reduzindo inclusive suas contingências de segurança e possibilitando uma relação de absoluta transparência com os clientes.
Em suma, a LGPD veio para ficar e a implementação do processo de adequação às suas regras não deve ser vista como um gasto, mas como um investimento para ganho em competitividade e reputação de mercado, alavancando novos negócios. Deve-se olhar essa nova legislação de forma prospectiva e estratégica, não como um ônus, mas como uma oportunidade. Este, sem dúvida, parece ser o melhor caminho.
__________
1 Lei 13.709/2018.
2 Este deve ser o papel desempenhado pela Autoridade Nacional de Proteção de Dados (ANPD), pelo menos nos seus primeiros anos. Como ainda inexiste uma cultura brasileira de preocupação com os dados pessoais, o caminho da educação e orientação das empresas é mais indicado do que o da simples punição.