Aprendemos ainda no segundo grau que quando se deseja aumentar a velocidade de uma reação química é preciso utilizar-se de elementos catalisadores. No nosso organismo por exemplo, a saliva e o suco gástrico são enzimas que exercem esta função, aumentando a velocidade da nossa digestão. Trazendo o conceito para o mundo jurídico quero articular a ideia de que a Lei Geral de Proteção de Dados (Lei 13708/19, já reconhecida apenas pela sua sigla LGDP) pode vir a se caracterizar como verdadeira enzima catalisadora da Governança, da Gestão de Riscos e Compliance, ajudando a acelerar a implantação das boas práticas de GRC nas organizações, sobretudo as empresariais. Explico.
Com o advento da citada legislação, passou a existir no Brasil um remédio jurídico que assegura às pessoas físicas que possam exigir uma conduta responsável das organizações no trato de qualquer dado pessoal sensível, trazendo previsão de sanções severas na hipótese de desobediência e inconformidades.
Tais obrigações envolvem o sigilo para com dados cadastrais básicos, como nome, endereço, telefone e de identificação pública (CPF, identidade, estado civil, etc) bem como elementos biométricos, genéticos, econômicos, culturais, sociais, entre outros que venham a surgir, determinando a guarda, rastreamento e exclusão, o que torna o monitoramento permanente destes fundamental para a segurança jurídica da organização, seja ela privada ou pública.
Esta nova realidade pode parecer a priori apenas um processo de monitoramento tecnológico, que se faria mediante a contratação de um software. No entanto, ao analisar os dispositivos legais veremos que será bem mais complexo pois envolve mudanças essenciais na governança (ato de governar, governação, gestão da corporação) de uma empresa, entidade ou órgão governamental. Por isto entendo que a sua aplicação promoverá uma mobilização interna sobre os temas essenciais de GRC.
Nesse sentido, para atender às exigências da LGPD, será necessário rever hábitos, políticas e procedimentos internos, os quais precisarão ser periodicamente verificados ou auditados, de modo que estejam sempre em conformidade com tal legislação, a fim de evitar que possam ensejar descumprimentos e eventuais penalidades. Por conseguinte, em cada setor onde existir a necessidade de dados serem monitorados, haverá que se definir um responsável a ser identificado no processo de gestão tecnológico. Ou seja, a implementação das novas práticas de gestão a partir da LGPD movimentará a organização toda em busca de um alinhamento de responsabilidades jurídicas talvez nunca antes atingido.
E não bastará fazer marketing ou incluir cláusulas contratuais afirmando a adoção de tais práticas pois , se não existirem de fato, não se sustentarão como elemento atenuante em eventual autuação, procedimento investigatório ou ação judicial. Pelo contrário, em eventual caso concreto em que a empresa for notificada a atender determinado pedido de uma pessoa física e se comprovar que divulgou uma atitude que não é capaz de cumprir, este fato poderá ser utilizado como agravante da conduta e evidência da negligência, imperícia ou imprudência na gestão de suas obrigações contratuais ou legais.
Portanto, estamos falando de uma mudança real no dia a dia das organizações, que não poderão ser omissas, sob pena de virem a receber punições de ordem econômica, por um lado e outras de cunho reputacional, que são imensuráveis. Não está claro ainda como atuará a Autoridade Nacional de Proteção de Dados – ANPD, mas já é possível, desde a sanção presidencial, exigir-se o cumprimento da lei entre as partes, pelo que há urgência na adoção de medidas internas a bem de se preparar para agir em caso de provocação pelos titulares dos direitos.
Diante deste cenário, algumas atitudes básicas serão fundamentais para a eficiência da execução de um plano em busca da conformidade com LGPD, senão vejamos: Diagnóstico: a partir da compreensão da legislação, eleger os processos da organização que precisarão ser objeto de atenção e prioridade; Revisão de processos: a partir do diagnóstico, revisitar os fluxos de trabalho que precisarão ser reformulados para que se possa buscar a conformidade com as exigências da lei na realidade prática; Capacitação e Treinamento: após serem definidos os novos procedimentos, há que treinar a todos envolvidos nos processos sensíveis à gestão dos dados, de modo a criar uma cultura de conformidade com a LGPD; Eleição ou contratação do DPO: essencial ao processo de monitoramento dos dados, será o líder interno responsável pelo programa; Tone from the top: o exemplo arrasta então para que as coisas aconteçam de forma correta e ágil é preciso que os líderes sejam os primeiros a mostrar o caminho, determinando, defendendo e praticando o que divulgaram internamente e ao mercado (“Walk the Talk”) . Vivência e comunicação:Na sequência é praticar, praticar e praticar, gerando a experiência da implantação no caso concreto para que possa criar o ciclo de melhoria continua acontecendo, girando o PDCA, de forma transparente e comunicando os resultados, de modo a aprender com os erros e evoluir.
Assim, ao me deparar com os desafios da LGPD, não vejo, portanto, apenas a obediência aos dispositivos de uma lei qualquer. Enxergo verdadeira oportunidades para empresas e organizações de todos os portes, segmentos e estágios de desenvolvimento se reinventarem a partir da escolha de processos prioritários. Observem que a descrição dos passos acima é perfeitamente adaptável para um projeto de GRC, seja na melhoria da governança, na implantação de compliance anticorrupção ou de um modelo de gestão de riscos em uma das áreas priorizadas pela alta administração. E o exemplo dos líderes, nestas diferentes mas convergentes missões, será fundamental para criar o ambiente propício à conformidade.
Enfim, percebo que a necessidade das organizações de se adaptarem ao novo marco legal introduzido pela LGDP fará com que os atores internos sejam sensibilizados naturalmente a agir em prol da adoção de procedimentos de GRC, pelo que vislumbro este momento como muito positivo sobretudo para as empresas brasileiras acelerarem na direção de uma gestão mais ética, mais transparente, mais voltada ao longo prazo.
E este movimento poderá ensejar uma busca pela excelência em tantas áreas da empresa que criará condições para um ciclo virtuoso que a diferencie no mercado , aumentando as chances de vencer licitações públicas ou privadas, obter financiamentos ou verbas de fomento, buscar investidores ou seguir o crescimento orgânico, evoluindo sempre para uma cada vez maior segurança jurídica e menores riscos. Basta escolher por onde começar!