Os novos prazos para adequação à LGPD, ainda sujeitos à votação na Câmara dos Deputados, sejam eles janeiro ou maio de 2021, podem ser considerados sob medida para as empresas que mantiverem em andamento seus projetos, bem como para as organizações que iniciarem agora seus processos de conformidade com a LGPD.
Isto se deve ao fato de que o tempo para a adequação, independente do que será aprovado, pouco será acrescido, trazendo riscos diversos a quem deixar o início das suas atividades para o ano que vem ou para o total reestabelecimento econômico do pós-crise; o que ainda é uma incógnita.
Este possível novo tempo poderá ser suficiente para que, a partir de agora, as empresas iniciem suas jornadas de conformidade à LGPD, para assim estarem adequadas da melhor forma possível, para quando a Lei entrar em vigência ali na frente, uma vez que grande parte dos projetos de implantação da LGPD não se faz da noite para o dia.
Não cremos que grandes e médias empresas, mais reguladas, assim como empresas que estejam em busca de crescimento e sustentabilidade, corram o risco de cancelar ou deixar para a última hora seus projetos, assumindo possíveis riscos e consequências de mais uma crise, tão prejudicial aos negócios e à reputação.
Já pelo lado das pequenas empresas e menores, que vivem agora grandes dificuldades devido à COVID-19, devemos buscar auxiliá-las da melhor forma possível, para afastarmos a possibilidade de cancelamento ou atraso em implementação por motivos diversos, incorrendo assim em responsabilizações e assunção dos riscos de vazamentos e mau tratamento de dados e as punições advindas, somando-se ao estágio de dificuldades já estabelecido.
Outro risco importante que empresas de diferentes estruturas de capital e controle devem observar, por consequência do adiamento para a última hora, é o da falta de mão de obra qualificada em mercado, que ocorrerá pelo crescimento eminente das demandas, bem como pelos erros dos atropelos da pressa e trabalhos também de última hora, gerando o significativo aumento de custos de implementação com correções.
A questão principal que queremos levantar ao mercado é que não devemos tratar apenas o fato da conformidade com a LGPD em si, e sim a de estarmos preparados para mitigarmos os diversos riscos e seus impactos financeiros e reputacionais, em consequência do relaxamento ou continuidade de existência de um ambiente de controle adequado e falta do postural efetivo de segurança e privacidade nos tratamentos de dados, que deveriam ser prioridades estratégicas de negócios empresariais.
Queremos alertar que mesmo havendo um breve adiamento das sanções ou punições para após o estabelecimento da LGPD, este não livrará as empresas de responderem judicialmente e sofrerem punições e impactos de ataques.
Devemos ter o entendimento de que outras regulações/leis/códigos correlatos, órgãos de defesa de direitos dos consumidores, e mais fortemente o MPDFT e o Judiciário, já fazem o papel de institucional ou de órgão sancionadores, já existindo no Brasil jurisprudência e casos reais de punição por ausência de proteção e privacidade de dados.
Buscando contextualizar um pouco mais, em tempos de COVID-19 e no pós-crise, o aumento da digitalização de operações e processos de negócio, possibilitando o aumento de trabalhos remotos, e a geração, tratamento e transferência de dados, nos trarão e se tornarão o dito “novo ou próximo normal”, condição que tende a continuar crescendo de forma acelerada, aumentando, consideravelmente, as superfícies de ataques e riscos cibernéticos à privacidade e às empresas.
Imaginemos sofrer algum processo judicial por vazamento ou mau tratamento de dados, não ainda pela LGPD, mas por outro código, e ainda tomarmos um “ransomware-de-tempos-de-COVID-19”? Isto sim pode trazer grandes problemas à empresa, por razões diversas!
A conformidade com a LGPD institucionaliza e regulamenta controles que promovem a privacidade e a segurança, devendo ser prioridade para as organizações, uma vez que:
- Permite evitar a punição por demais órgãos sancionadores vigentes;
- permite evitar ou mitigar o risco de se sofrer profusões de ações ajuizadas por pessoas e empresas;
- evita o relaxamento de controles e estabelecimento de deficiências no postural de segurança, principalmente em tempos de crise com ataques e fraudes motivados pela pandemia de COVID-19;
- evita termos nossos dados ou de nossos clientes disponíveis ou comercializados em deep ou dark webs (case do Zoom), ou ainda fruto de fraudes internas e somado a isto um dano reputacional, muitas vezes, irreparável;
- evita a perda ou exclusões de contratos de negócio de clientes que já iniciaram seus processos de conformidade e exigirão o mesmo de seus parceiros; e
- institui a cultura e postural de segurança e privacidade de dados, demonstrando confiabilidade ao mercado.
É fato que a COVID-19 trouxe e trará mudanças significativas à sociedade e ao meio empresarial, com novos hábitos e comportamentos sócio econômicos e de consumo, que já apresentam nova ordem de riscos e vulnerabilidades corporativas de características distintas.
No que tange à privacidade de dados, o cenário se complica, pois somam-se riscos e vulnerabilidades oriundas das deficiências tecnológicas empresariais, a confusão causada por órgãos envolvidos em relação à vigência da LGPD, gerando a falsa sensação de que teremos tempo mais que suficiente, quando este continua justo, frente a complexidade regulatória, se a adequação iniciar agora e inviável, se iniciar o processo de conformidade no início do próximo ano.
Senão vejamos alguns pontos:
- A prorrogação trará a continuidade do relaxamento ou não observação de controles necessários à privacidade, aumentando significativamente os riscos frente à explosão de ataques crescentes motivados pela COVID-19, assim como dos riscos de ações judiciais.
- o novo prazo continua e será insuficiente para as organizações que pensam em iniciar seus processo no ano que vem, ou seja, apenas 4 meses na melhor das hipóteses;
- a conformidade com a LGPD tem sua complexidade e demandas de trabalho, além de seus processos e tecnologias orientados a todas as áreas e stakeholders corporativos. É um processo de aculturação que não se faz com apenas um treinamento isolado;
- o contexto de não vigência da LGPD permite que, em se tratando de privacidade de dados, outras regulações e códigos (CDC, Constituição Federal, Lei da Telecom e Informática, Marco Civil da Internet, novas normativas do BACEN …) e órgãos relacionados (Judiciário, PROCONs…) possam atuar como sancionadores, mesmo sem a atuação hoje da ANPD. E o Judiciário em suas decisões sobre ações já cita a própria LGPD agregada a outro código;
- já a partir de meados do segundo semestre deste ano, existe uma forte tendência de ausência de mão de obra especializada no mercado, impactando nos custos de adequação com a LGPD e no aumento de ações no Judiciário;
- a LGPD, em seus artigos e parágrafos, exigirá práticas constantes de governança que contemplem mecanismos para seus processos de accountability e transparência, no que tange à proteção e tratamento de dados e privacidade, os quais vão muito além de uma atualização documental e contratual, ou implementação tecnológica, mas um processo de maturidade cultural de constante conduta;
- as mudanças trazidas pela COVID-19 com o “novo normal” aumentaram a aceleração da transformação, ou melhor, readequação digital das empresas, trazendo dificuldades tecnológicas e comportamentais (pelo estresse das incertezas), e assim novas vulnerabilidades frente a um cenário exigente de reputação para fidelização e referencial por parte dos cliente;
- as atuais pesquisas setoriais apontaram que a maior parte das grandes e médias empresas em crescimento (clientes e fornecedores) mantiveram seus projetos e cronogramas em andamento; e outras ainda analisam correr os riscos do adiamento;
- a COVID-19, além do aumento das superfícies de ataque, fez disparar o número de golpes, roubo de informações (disponíveis em “redes escuras”) e tentativas de fraudes em consequência do aumento de home office e home meetings;
- a conformidade com a LGPD será diferencial competitivo para empresas de setores diversos, assim como prova de confiabilidade e reputação;
- basear-se ou esperar pelo final da pandemia (sem prazo para acabar) e a volta efetiva da normalidade financeira para só então iniciar o processo de adequação à privacidade e a LGPD, pode se tornar um grande risco ou escolha estratégica indevida, se formos surpreendidos ou premiados com os danos e sanções diversas e correlatas, pois certamente a organização não terá tempo hábil para estar preparada, mitigar e reportar.
Em suma, torna-se necessária a observação de um redesenho ou nova postura sobre segurança cibernética, proteção e privacidade de dados, como parte integrante de uma estratégia de gestão de vulnerabilidades baseada em riscos, através de visão multiestratificada, tendo assim a conformidade com a LGPD uma verdadeira aliada em sua jornada de governança.
Portanto, incentivamos fortemente às empresas a começarem ou continuarem seus projetos o mais breve possível, com calma e tranquilidade, evitando cancelar ou retardar em muito sua adequação, conformidade e privacidade.
Deixar esses esforços para última hora significa assumir riscos de falta de mão de obra especializada, devido ao aumento vertiginoso da demanda, por exemplo. Os riscos de erros advindos da pressa de última hora causam custos maiores para a implementação e correções.
Entendemos que além de questões de jurisprudência ou tecnológicas, a conformidade com a LGPD é uma questão econômica e reputacional, de sustentabilidade e continuidade, credibilidade e competitividade.
Enfim, a LGPD é uma jornada de governança, onde a pandemia do Coronavírus não deve ser usada como justificativa para a inconformidade ou não observação de controles, mas sim como um motivador para maior proteção e privacidade, principalmente para a reputação empresarial e o preparo para a retomada mais adaptada aos novos tempos do pós-COVID-19.
A crise causada pelo Coronavírus marca em 2020 o início de uma nova era, na qual a sociedade e organizações terão aprendizados importantes e os processos e práticas de gestão de riscos e crises, governança, integridade e compliance serão os pilares na condução de uma nova ordem econômica e social, com destaque à proteção e privacidade de dados em conformidade legal.