O ano de 2018 foi marcante para o mundo dos negócios com o início do regulamento geral de proteção de dados pessoais (General Data Protection Regulation) da União Europeia em maio de 2018. Não era algo novo para as organizações europeias, pois tiveram dois anos para se prepararem, mas para o restante do Mundo era algo ainda pouco conhecido.

Em abril de 2018, pouco antes do GDPR entrar em vigor, Mark Zuckerberg estava na berlinda enfrentando perguntas de membros do Congresso Americano sobre as inúmeras violações de privacidade no Facebook que foram reveladas no início do ano. Este tipo de situação foi um dos maiores motivadores da criação do GDPR pela União Europeia.

A União Europeia já tinha uma lei abrangente sobre privacidade desde 1995, mas o GDPR é significativamente mais forte, mirando principalmente no uso comercial dos dados pessoais por empresas como Facebook e Google. O GDPR foi desenvolvido para que os consumidores não dependam da boa vontade e ética das empresas para ter sua privacidade protegida. Embora o GDPR se aplique apenas na UE, o mesmo ajudará a proteger a privacidade das pessoas globalmente de várias maneiras, uma vez que eleva os padrões internacionais de privacidade e influência outros países que desejam manter ampla relação comercial com a União Europeia.

A maior prova disso foi a aprovação em agosto de 2018 da Lei Geral de Proteção de Dados (LGPD) pelo Congresso Brasileiro. Bastou os primeiros efeitos da entrada do GDPR para que as organizações brasileiras pressionassem o Congresso para que agilizasse a aprovação da LGPD, pois o risco do Brasil passar a sofrer sanções e perdas comerciais por falta de regras claras que protejam dados pessoais passaria a ser muito alto. Na verdade, com a LGPD o Brasil ainda não pode ser considerado um país aderente ao GDPR, pois a nova Lei só entrará em vigor em fevereiro de 2020 e ainda precisa de ajustes e complementos, mas já é um grande avanço ter uma Lei que enderece este tema.

Entre os ajustes e complementos necessários à LGPD está por exemplo a criação de uma autoridade de proteção de dados equivalente à DPA (Data Protection Authority) no GDPR. O DPA, quando criado, será uma autoridade pública independente responsável pela supervisão e execução da LGPD. Seu formato ainda não foi definido, mas deve funcionar da mesma forma que outras agências reguladoras ou órgãos de supervisão. A autoridade poderá estabelecer diretrizes para a promoção da proteção de dados pessoais no Brasil. A lei que criará o DPA provavelmente servirá para a criação do Conselho Nacional de Proteção de Dados, órgão consultivo de composição multisetorial, que pode propor diretrizes e estratégias, realizar estudos e disseminar conhecimentos sobre proteção de dados no Brasil.

Regulações como GDPR e LGPD trazem diversos desafios às organizações, que precisarão implementar uma governança de dados pessoais efetiva, além de demonstrarem total compromisso com esta nova agenda de proteção de dados pessoais, promovendo conscientização de seus executivos com o tema, além de treinamentos contínuos de seus colaboradores. As penalizações são pesadas e chegam a 4% do faturamento anual na União Europeia e a Cinquenta milhões de reais no Brasil, por isso demonstrar um efetivo engajamento com as adequações às novas regulações passará a ser essencial para que as organizações não sejam punidas severamente.

Contudo, apesar de toda pressão que estas regulações trazem às organizações de todo o Mundo, os benefícios não correspondem apenas aos donos dos dados que passarão a ter um cuidado maior com a sua privacidade. Ao adotar uma governança de dados mais madura, as organizações estarão diretamente se defendendo de um tipo de crime que tem sido cada vez mais comum e muitas vezes silencioso, o crime cibernético ou Cibercrime (Cybercrime em Inglês). Muitas vezes empresas são invadidas ou tem seus dados internos roubados e nem sempre ficam sabendo, podendo ter complicações futuras com vazamento de dados confidenciais ou mesmo prejuízos com fraudes bancárias ou contábeis. O Cibercrime não é novo, mas tem crescido exponencialmente no Mundo e atacado cada vez mais organizações comuns e às vezes nem tão grandes. A falta de controle de acesso aos sistemas internos, proteção da rede corporativa contra invasões ou mesmo proteção física de acesso são providências básicas que muitas vezes não são seguidas por diversas empresas e por isso as tornam vulneráveis aos Ciberpiratas (Hackers em Inglês) externos e também internos.

Na União Europeia as organizações já estão preparadas ou se encontram em estado de preparação bem avançado para atender as exigências do GDPR, mas no restante do Mundo, principalmente no Brasil, grande parte das empresas ainda não iniciaram suas avaliações de impacto quanto ao atendimento dessas regulações, talvez por acharem que talvez não necessitem atender tais regulações ou mesmo por desconhecerem a existência deste novo desafio. Devemos considerar também que a agenda política brasileira foi tão conturbada entre 2014 e 2018, que exigir das empresas que estejam antenadas com uma nova Lei que regula proteção de dados pessoais talvez possa soar como preciosismo, mas se engana quem pensa que a LGPD não será levada à sério ou mesmo não terá tanta prioridade. Ao contrário, o Brasil será cada vez mais desafiado a demonstrar que sua nova Lei está na pauta principal do governo e que a proteção de dados pessoais é um assunto sério, submetendo a LGPD ao crivo não apenas da União Europeia, mas também de outros países que já possuem Leis maduras de proteção de Dados e que passarão a exigir o mesmo de seus parceiros comerciais.

Vamos fazer o seu projeto acontecer?