Promulgada às pressas, a Lei Geral de Proteção de Dados surpreendeu o mundo acadêmico, os juristas e, principalmente, o mercado com novas normas de Governança de Dados, principalmente aquelas relacionadas ao tratamento de Dados Pessoais.
A publicação da lei gerou um rebuliço aos principais agentes demandados pela lei, que não sabiam como cumprir de forma efetiva e prática a LGPD. Esta debandada acarretou que inúmeras empresas se adequassem à Lei Geral de Proteção de Dados, principalmente sobre as novas diretrizes de relacionamento com clientes e terceiros na máxima de tratamento do Dados Pessoais.
Após dois anos de vigência legal, de estudos direcionados ao tema e de uma maciça divulgação das premissas e diretrizes da LGPD, o cenário de Privacidade e Proteção de Dados no Brasil se aprimorou. Segundo o estudo realizado pela Fundação Dom Cabral (FDC), estimasse que 60% das empresas Brasileiras estejam adequadas às regras da LGPD.
Porém, mesmo com um número expressivo de empresas adequadas à lei, há um imbróglio prático no tema: a ideia que a Lei Geral de Proteção de dados inseriu no ordenamento jurídico foi a de permanente conformidade com o tratamento de dados pessoais, e não o mero cumprimento momentâneo dos requisitos legais pelas organizações.
Em essência, não basta apenas realizar a adequação à lei, mas sim instituir um Programa de Governança de Dados, perene e eficaz, nos termos do que determinada o art. 50 da LGPD.
O sócio da P&B Compliance Lucas Paglia, pioneiro do tema de Privacidade e Proteção de Dados no Brasil, diz que: “Atualmente vivenciamos o ‘Dia 2’ da LGPD, que se configura pela fase em que as empresas exercem a Governança de Dados e monitoram a aplicabilidade prática dos seus Programas de Privacidade e Proteção de Dados”.
Nos termos da interpretação do ilustre, mostra-se de extremo valor o monitoramento do projeto de adequação à LGPD pelas organizações. É necessário, portanto, que as empresas exerçam ações que garantam efetividade à sua Governança de Dados.
A exemplo dessa importância, citamos as empresas que estão rescindindo contratos com os seus prestadores de serviços pelo fato de não estarem suficientemente adequados à LGPD. Na realidade, a maioria destas empresas terceiras adequaram-se às normas e diretrizes da lei, seja por meio de consultoria especializada no assunto ou por profissionais próprios, contudo não exerceram uma rotina de monitoramento e vivência prática sobre Privacidade e Proteção de Dados, isto é, não impuseram uma rotina organizacional que estabelecesse em suas realidades as premissas de Governança de Dados.
Essa preocupação é balizada porque a LGPD prevê, de forma direta no seu art. 42, que os controladores e operadores respondem patrimonialmente pelos danos que causarem aos titulares de dados, em razão do exercício da sua atividade de tratamento de dados pessoais.
Ainda nesta linha, há empresas que possuem uma Governança de Dados demasiadamente consolidada, a ponto de exigirem dos seus parceiros de relacionamento a sua adequação à legislação de dados, quando assim não estiverem.
Cita-se um relevante caso jurídico de uma empresa terceirizada de contabilidade que foi notificada extrajudicialmente pela sua contratante para se adequar à lei. Este fato se deu após a empresa de contabilidade encaminhar um e-mail para o setor errado da empresa contratante, que continha informações relevantes dos salários dos seus colaboradores, o que ocasionou um enorme stress empresarial.
Em desfecho, nota-se que vivenciamos o segundo momento da Lei Geral de Proteção de Dados, o qual as empresas que implementaram e estruturaram um Programa de Proteção de Dados Pessoais, devem monitorá-lo e aprimorá-lo com intuito de atingir maturidade na sua Governança de Dados. Este nível de maturidade somente é alcançado com a contínua evolução do seu Programa de adequação à LGPD, evitando que situações como as descritas ocorressem.
