Dois anos após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), aprovada em 2018, as grandes empresas acumulam experiências de sucesso e alguns fracassos na adaptação, que demandou mudanças organizacionais relevantes na forma como dados pessoais são geridos. A legislação entrou em sua última fase de implementação em agosto deste ano, mas ainda são aguardadas novas regulamentações.
A Casa JOTA discutiu, nesta quinta-feira (2/12), como empresas de destaque em diferentes setores aderiram à LGPD. O debate foi promovido também como lançamento do ebook “Proteção de dados e experiências setoriais: A visão do setor privado na implementação da LGPD”, que reuniu artigos de especialistas que atuam no setor privado e foi publicado pelo JOTA. O livro teve organização de Thiago Luís Sombra, sócio do escritório Mattos Filho, em São Paulo, e Ana Carolina Castellano, global privacy counsel da Unilever.
Para as especialistas, a adaptação à LGPD é constante e requer inovações contínuas. “Não foi uma lei tranquila de cumprir, por isso houve bastante tempo de adaptação e inúmeras dificuldades. Hoje, nenhuma empresa pode dizer que está cumprindo completamente, porque há novidades o tempo todo”, afirmou Castellano.
As empresas que saíram na frente conseguiram se adaptar antes do prazo, mas não sem erros. Foi o caso sobretudo de companhias também sujeitas à lei geral da União Europeia (GDPR), que, em grande medida, contribuiu em conteúdo para o texto brasileiro. A B3 foi uma delas, tendo iniciado o processo em 2017, segundo Milena Fório, superintendente jurídica da companhia.
“A proteção e privacidade de dados é multidisciplinar, por isso as áreas envolvidas na formulação eram colíderes. No processo, percebemos que precisávamos de uma área especialmente focada em proteção de dados e outra na governança de deles”, contou Fório, que é coautora de um dos artigos do ebook, sobre mercado securitário. “Tivemos que aprender a perder o medo de errar, porque tínhamos poucos insumos no começo. Para disseminar a cultura de proteção de dados, criamos embaixadores de privacidade em cada área, com treinamento aprofundado”, relatou sobre um dos acertos nessa jornada.
Nesse sentido, a conscientização interna foi um dos principais esforços das empresas. “O processo de adequação à lei passa por uma mudança cultural, que pode ser bastante semelhante ao desenvolvimento de boas práticas de governança e compliance”, disse Thais Rosa, advogada na Prumo Logística.
“Aquela visão antiga de que a LGPD afetaria mais as varejistas, setores de saúde, e outros que atuam com o consumidor final se mostrou equivocada. A grande maioria teve que fazer mudanças organizacionais grandes”, completou ela, que assina artigo no ebook sobre a relação entre proteção de dados e compliance.
No caso de empresas com capilaridade nacional, dividida entre operações digital e física, disseminar essa cultura passa por treinamentos constantes. “Temos loja em todo o Brasil, ecommerce, acabamos de lançar carteira digital. Temos grande preocupação por conta do volume de dados de clientes, então é essencial engajar os times nesse sentido, especialmente os de tecnologia”, disse Ana Bruning do Val, gerente de Riscos & Segurança da Informação, Compliance e Auditoria na C&A Brasil. “Tivemos incidentes de segurança que, em vez de crises, preferimos enxergar como oportunidades.”
E se para grande parte das empresas com décadas de história se adequar significou fazer mudanças inclusive rumo à digitalização, para o Google a demanda por privacidade e políticas de proteção surgiu uma década antes da LGPD. A trajetória começou em 2007, quando a multinacional começou a usar uma tecnologia que possibilitava o download de dados pessoais (hoje, o chamado Google Take Out), lembrou Giovanna Ventre, associate counsel no Google e coautora de um artigo no ebook.
“Assumimos uma postura de ser humilde e ter aprendizado permanente. Um dos princípios que nos pautamos é transparência, que deve ser também ativa para que o titular do dado possa moldar a experiência que prefere. Ela só é efetiva se houver diálogo franco com os nossos usuários”, disse Ventre. Segundo ela, todos os meses, 100 milhões de pessoas usam o “check up de privacidade”, que permite fazer essa gestão, e 30 milhões optam por deletar dados.
Também foi relevante, na perspectiva dela, a criação de uma área robusta dedicada à questão, antes ramificada em diferentes setores da empresa. “Identificamos que ter a área de privacidade e proteção de dados integrada com mais de 400 profissionais que olham para o programa de conformidade de maneira holística era necessário para ter eficiência.”
Veja como foi o webinar:
