A vigência da LGPD e as os desafios para a proteção de dados em meio à COVID-19
Discutir sobre proteção de dados no Brasil tornou-se uma tarefa desafiadora. O estado de crise provocado pela COVID-19 impactou severamente as empresas, que passaram a adotar medidas para compatibilizar sua mão de obra com as demandas existentes durante o isolamento social, e a adoção de medidas para minimizar o risco de propagação da doença entre a sua força de trabalho.
A utilização de redes privadas (conhecidas como VPN) e práticas como a do bring your own device (BYOD) tornaram-se comuns no dia a dia corporativo. Houve também um crescimento exponencial do comércio eletrônico, do home office, de webinars, reuniões virtuais e um sem número de atividades que passaram a ocorrer totalmente por meio da internet.
Na mesma proporção, multiplicaram-se os riscos associados ao uso indevido dos dados pessoais, incluindo-se, mas não se limitando aqueles relacionados a vazamentos de dados, acessos indevidos por terceiros, furto de dados mantidos por servidores corporativos, criação de perfis falsos, fake news, dentre outras práticas noticiadas com frequência.
Muitas empresas sequer estavam estruturalmente preparadas para uma mudança tão drástica e repentina. Fato é que há uma enorme quantidade de dados, antes restritos ao ambiente controlado das empresas, circulando por e-mails, serviços de mensageria e canais de comunicação eletrônicos.
Não é preciso muito esforço para se visualizar os danos que podem advir de um cenário como este, não apenas materiais, como também reputacionais.
Podemos fazer um breve exercício de imaginação e pensar no estrago provocado por alguns ransomwares nos anos passados, como o Wannacry em 2017 ou o Ryok em 2019, que sequestraram dados de inúmeras empresas, restringindo completamente o acesso aos seus servidores e toda a informação que lá estava. Uma situação destas hoje em dia teria consequências muito maiores, pois as operações estão quase que integralmente sendo realizadas digitalmente.
Neste cenário, que mais parece um roteiro de filme futurista, chama a atenção que nossa Lei Geral de Proteção de Dados (LGPD) ainda não está em vigor. E as discussões entre o Poder Legislativo e o Executivo a respeito do tema apenas contribuem para proporcionar mais insegurança jurídica a esta situação.
Inicialmente prevista para entrar em vigor em agosto de 2020, seu adiamento para 2021 foi incluído dentre as diversas medidas adotadas pelo Governo para enfrentar o estado de crise gerado pela COVID-19, no Projeto de lei nº 1.179. Esse tema foi alterado pela edição da Medida Provisória nº 959/20, que estabeleceu o dia 03 de maio de 2021 como nova data para que a LGPD entre em vigor. Desde então, o assunto segue em intensa discussão, com uma recentíssima "nova" proposta para que se mantenha a data original de entrada da lei em vigor, o dia 15 de agosto de 2020.
Com tudo isso, é impossível indicar com exatidão a data em que a LGPD entrará em vigor. Apesar disso, a proteção de dados já é um tema presente em nosso cotidiano e uma reflexão a respeito do seu papel no Brasil é essencial.
Grande parte das mudanças nos hábitos de trabalho e de consumo verificadas durante o período de isolamento social serão permanentes. De um momento para outro tivemos que acelerar o desenvolvimento digital para que as atividades empresariais não fossem interrompidas completamente.Neste contexto, nunca foi tão necessário termos uma orientação clara em relação a proteção dos dados pessoais como neste momento, e a vigência da lei, bem como a existência da Autoridade Nacional de Proteção de Dados, seriam muito importantes para o momento que estamos passando.
Sem uma lei de referência para a utilização dos dados pessoais, amplia-se a possibilidade de abuso na coleta e forma de utilização dos dados pessoais, bem como estimula-se que diversos outros órgãos não especializados passem a emitir seus entendimentos com relação ao uso dos dados, o que provoca uma grande confusão. É o caso, por exemplo, das fiscalizações e autuações do Ministério Público e de órgãos de proteção do consumidor, da emissão de pareceres por parte de Agências reguladoras, ou mesmo decisões judiciais embasadas em diversos dispositivos legais esparsos (Marco Civil da Internet, Código do Consumidor, Lei de Acesso a Informação) que procuram definir parâmetros para o tratamento dos dados pessoais.
É, portanto, imprescindível e urgente que as empresas adotem medidas de segurança voltadas à proteção dos dados pessoais que utilizam em suas atividades. E, neste contexto, por mais paradoxal que possa parecer, a adoção da LGPD, antes mesmo de seu prazo de vigência, é um dos caminhos mais seguros para se buscar compatibilizar o "novo normal" representado pela explosão na utilização dos meios digitais e a necessidade de proteção dos dados pessoais.
A LGPD, antes de representar mais um ônus para as empresas, é um norte seguro a ser perseguido, independentemente de seu prazo de vigência. A adoção de suas regras, ao mesmo tempo que minimizará os riscos acima apontados, servirá para demonstrar a diligência dos administradores e das empresas na proteção dos dados de seus usuários.
É importante destacar, todavia, que o processo de adequação das operações da empresa à LGPD é antes de tudo uma jornada, que se prolonga no tempo, demandando ações multidisciplinares, que envolvem desde a área de tecnologia até a área de produtos. Por isso mesmo, é fortemente recomendado que as empresas não recuem na trajetória de implementação da LGPD. As que já começaram, devem manter o foco e finalizar a sua adequação. As que ainda não o fizeram, deve fazê-lo o quanto antes.
Postergar o início do processo de transformação pelo qual a empresa deverá passar significa aumentar a exposição a riscos de segurança da informação hoje e, consequentemente, aumentar as chances de não ter tempo hábil para realizar as atividades de implementação da lei ao passar término período de isolamento social.
Por Richard Blanchet e Raphael Valentim, advogados