por Brenda Rodrigues*
A Lei Geral de Proteção de Dados (LGPD) entrou em
vigor no Brasil depois de diversas discussões legislativas. E apesar da sua
importância para nossa sociedade cada vez mais data-driven, ou seja, quando as
decisões são orientadas pela coleta e análise de dados, as empresas, mesmo
aquelas que estão fazendo projetos de adequação, ainda possuem muitas barreiras
técnicas e culturais para se adaptar à nova realidade.
Mas, dentro das perspectivas técnicas, que
envolvem a Segurança das Informações, organizacionais, que trazem o Programa de
Privacidade e profissionais em cargos estratégicos, e culturais, envolvendo
mudança do mindset das áreas de negócio, qual é o maior risco no atual
contexto?
Com o adiamento das sanções administrativas para
agosto de 2021, as empresas estão considerando o cenário favorável para
desacelerar os investimentos e a preparação para essa nova realidade regulada.
Contudo, o cenário real é um pouco diferente.
Os direitos dos titulares, bem como os princípios
da Lei, entraram em vigor independente das sanções, e, portanto, podem ser
cobrados judicialmente por outras esferas, como o Procon e o Ministério
Público. Entre esses direitos, estão a informação transparente sobre a
existência do tratamento dos dados, requerer a exclusão de dados excessivos
para a finalidade da coleta, bem como exigir a exclusão total dos dados caso
esteja em desacordo com as disposições legais. Ou seja, as pessoas já poderão
cobrar que as solicitações sejam respondidas em acordo com os princípios
legais.
Entretanto, as empresas, especialmente aquelas
que lidam diretamente com o consumidor - as B2C -, têm construído um império
estratégico embasado na análise de dados, sem qualquer limite bem definido em
relação ao tipo de dado ou até mesmo à fonte de coleta. Diante deste cenário,
estão enfrentando dificuldades não só nos negócios, como também em relação aos
aspectos culturais para garantir que esses direitos à informação, à
transparência, ao uso mínimo de dados e à restrição de tratamento apenas para
cumprir finalidade legítima sejam, de fato, uma realidade para os titulares.
Quantos de nós recebemos e-mails e até mesmo
mensagens por WhatsApp com comunicações de empresas que não conhecemos e
ficamos perdidos sem saber como excluir nossos dados daquela empresa, ou sequer
conseguimos ter a informação de quais dados estão na base delas ou como foram
parar lá.
Bem, com a entrada da LGPD em vigor, isso não
poderá ocorrer. Será considerado um tratamento ilegal e, consequentemente,
violação do direito do titular. As sanções administrativas podem estar adiadas,
mas os direitos não. E, portanto, o império do marketing data-driven estará bem
ameaçado caso as pessoas saibam disso. Na maioria das empresas, não há, ainda,
estrutura, tecnologia e preparação de equipe suficiente para a garantia da
transparência dessas informações ou a facilitação da exclusão desses dados da
base.
E, quanto maior o conhecimento do público dos
direitos sob a perspectiva da privacidade e proteção de dados, maiores serão os
riscos de exposição das empresas às práticas irregulares de tratamento de
dados. A realidade é que as empresas ainda estão despreparadas para o cenário
no qual as pessoas conheçam e cobrem seus direitos. Assim, com os
desdobramentos jurídicos dessa violação de direitos pode ser, hoje, o maior
risco enfrentado na implantação da privacidade na rotina data-driven.
* Brenda Rodrigues é consultora de compliance da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.