Cada vez mais próxima de entrar em vigor, a aplicação da lei geral de proteção de dados preocupa, e muito, os pequenos médios e grandes empresários, os quais correm contra o tempo em busca das melhores alternativas para uma adequação imediata de seus negócios a esta nova realidade.
Algo recorrente e que costuma preocupar os CEOs dos mais diversos segmentos empresariais e de um modo geral é: como dar início a implementação desse programa e como minha empresa pode passar segurança, proteção e transparência aos meus clientes, fornecedores e funcionários?
Embora a legislação não especifique a formação desse profissional, o art. 37 da lei europeia sobre proteção de dados estabelece que o DPO deva ser alguém que entenda sobre a legislação, assim como também tenha conhecimento sobre as práticas de proteção de dados de um modo geral.
O DPO deve estar alinhado com as normas de conformidade da empresa e trabalhando conjuntamente com uma equipe técnica designada por profissionais das mais diversas áreas: tecnologia da informação, financeira, administrativa e jurídica e até outras áreas que possam exercer funções de gestão de documentos e de demais informações pessoais.
A partir daí, deve-se mobilizar uma verdadeira força de trabalho para identificar, separar e classificar a documentação física e a digital. Quando tudo estiver organizado, procura-se ordenar um processo de otimização e de gerenciamento de todas essas informações. Identificando então a natureza de todas elas, é possível a sua separação e passa-se a trabalhar somente com o mínimo de informação possível, reduzindo-se consideravelmente a quantidade de utilização desses dados.
Após essa organização e mapeamento, fica mais fácil entender e selecionar quais informações e dados precisarão ser tratados dentro de cada empresa e a especificidade de seu plano de negócios. Ainda, a avaliação periódica de impactos e de riscos ao negócio se torna mais viável, pois a gestão documental, já sistematizada, permite melhor visibilidade e previsibilidade de situações inesperadas.
De fato, a Lei Geral de Proteção de Dados veio para facilitar os mecanismos atuais de gestão documental, além de preservar a privacidade dos funcionários e de terceiros de um modo geral. Isso porque permite o descarte de informações inúteis, impróprias, o cuidado com as sensíveis, e filtra o que há de melhor a ser aproveitado nas contratações, nos treinamentos e nos contínuos monitoramentos que fazem parte do dia a dia das empresas.
Assim, além dos novos processos de tratamento e de descarte, algumas outras alterações deverão ser realizadas, como as de ajustes de contratações já efetivadas e filtragem nas permissões de quem pode ou não ter acesso aos dados e quais dados. Importante esclarecer que toda e qualquer modificação feita no intuito de obedecer a Lei deve ser justificada e, ainda, inventariada suas entradas, alterações e saídas.
Portanto, veja-se que a LGPD não veio apenas para os novos modelos de negócios, mas também para os antigos, aqueles que já estão consolidados e que possuem uma vasta solidez e confiabilidade. Ela veio trazer princípios como o privacy by design, que nada mais é do que a adoção de medidas preventivas através de posturas proativas e não reativas, visando evitar, coibir e corrigir qualquer incidente de violação a dados pessoais, dentre outros.
Por isso que a implementação das normas afetas a lei de Proteção de Dados é tão importante, e exige que as empresas adotem ferramentas modernas, como a utilização da Inteligência Artificial, por exemplo, que visa otimizar os serviços, desde já programados para atendimento aos clientes, fornecedores e consumidores. Além disso, é de fundamental importância a implementação de um bom programa de conformidade e de governança.
___________
*Juliana Costa é advogada, especialista em Compliance pelo Instituto Insper e pela Legal Ethics & Compliance - LEC; Vice-presidente da Comissão de Direito Digital, tecnologias disruptivas e Startups da OAB/DF; Conselheira Fiscal da CEB Geração S/A.