Fuja dos mercenários e saiba como contratar uma verdadeira consultoria de implementação da LGPD

A Lei Geral de Proteção de Dados, ou apenas LGPD, parece ser uma Lei Nova, mas em verdade encontra-se no ordenamento jurídico brasileiro desde 2018. A novidade fica a cargo do exército de seus disseminadores – boa parte também aproveitadores – ansiosos por vender consultorias sobre a referida Lei, sem nunca terem vivenciado o universo da análise de dados e seus meandros procedimentais. Por isso, eis a nossa recomendação: Fuja dos mercenários e saiba como contratar uma verdadeira consultoria de implementação da LGPD.

Photo by Markus Spiske on Unsplash

Photo by Markus Spiske on Unsplash

Quase sempre o discurso de vendas da legião de mercenários é apocalíptico: “organizações podem sofrer punições administrativas, que vão desde advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD”.

Condenamos tal discurso, sobretudo porque entendemos que sua argumentação não respeita a razoabilidade sancionatória, já colocada como uma das diretrizes estratégicas da Autoridade Nacional de Proteção de Dados (ANPD), sobretudo em relação ao tratamento diferenciado que deverão receber as Pequenas e Microempresas brasileiras perante o órgão de controle vinculado ao Governo Federal.

Ademais, mesmo para que as multas fatalistas cheguem à astronômica cifra de R$50.000.000,00, a organização sancionada deverá ter um faturamento bruto anual de R$2,5 bilhões ano!! Cifras dignas de um seleto e bastante reduzido grupo de empresas bilionárias, tão raras quanto tigres brancos em solo brasileiro. 

Com isso, estamos deixando de disseminar a verdadeira finalidade da LGPD, sua base principiológica ou, ainda mais forte, sua própria razão de existir, qual seja, construir, no Brasil, um ambiente empresarial e institucional – não esqueçamos dos órgãos públicos – alinhado com padrões globais de privacidade, os quais, em última análise, respeitem direitos inerentes à personalidade, como a liberdade, a autonomia privada e, numa camada mais profunda, o direito à intimidade. Eis, aqui, o grande cerne que deveria servir de motivação para o combate travado pela maioria dos militantes da LGPD.  

Ressalte-se que o nosso alerta contra os mercenários da LGPD não é, e nunca será, um salvo-conduto para que as organizações fiquem inertes quanto ao compliance de dados. O mês de agosto do corrente ano é daqui a pouco, quando – guardadas as devidas proporções, frise-se – sanções administrativas, aplicadas pela ANPD, deverão existir, tendo em vista a previsão de vigência da LGPD em relação aos seus arts. 52, 53 e 54, que tratam dos aspectos sancionatórios da referida Lei.

Além disso, pelo fato da LGPD ser uma legislação multidisciplinar, conforme ressaltamos em artigo anterior, salientamos que fiscalizações e, inclusive,  sanções com outras bases legais correlatas, já podem ser perseguidas por órgãos de controle como o Ministério Público do Trabalho e os Procons, quando da violação da privacidade de indivíduos protegidos pelas atuação de tais órgãos, mesmo à luz da LGPD.

Em outras palavras, fica consignado, mais uma vez o disclaimer: não é só a ANPD que ficará com a incumbência de fiscalizar a Lei Geral de Proteção de Dados.

Feitos todos os alertas, chegou a hora de recomendarmos como iniciar a adequação da LGPD em sua organização, tendo sempre em mente que esta é uma ótima oportunidade para incluir, em sua cultura organizacional, a privacidade como padrão (privacy by default).

A caminhada deve ser realizada com a participação de todos os setores do organograma funcional de sua organização. Esse é um trabalho que demanda múltiplas especialidades, visões de mundo distintas e muito tempo de dedicação. O cenário é, literalmente, idêntico à organização de squads de produção, muito utilizados no mundo das empresas de tecnologia, como Spotify e Nubank.

Como sempre costumamos dizer, a LGPD é tridimensional, albergando, no mínimo, três áreas de concentração: Direito, TI/Segurança de Dados e Administração. Para organizações de pequeno porte, cuja estrutura é menor e, quase sempre, menos burocrática, o trabalho da consultoria especializada inicia-se no momento em que o núcleo gestor da organização decide tomar a decisão de buscar conformidade em relação à LGPD.

Porém, para corporações de médio a grande porte, torna-se necessária a criação de um comitê, com representantes de outras áreas, para além da estrutura tridimensional, como marketing, comercial, departamento pessoal, recursos humanos, financeiro e, ao menos, um representante da alta diretoria executiva, de preferência o CEO ou COO.
Outra dica é coordenar as atividades de dentro para fora da organização: do núcleo duro do projeto, que seria o comitê, nas médias e grandes organizações, para as camadas mais superficiais. Primeiro, alinhando-se o entendimento dos agentes responsáveis pela cultura de privacidade de dados pessoais e, depois, apresentando as conclusões do alinhamento, setorialmente. É a partir daqui que, para médias e grandes organizações, faz-se sentido o trabalho da consultoria especializada.

É chegada a hora de escolher a consultoria de implementação da LGPD especializada, quais os critérios para avaliar a qualidade do parceiro a ser contratado?

Simples. Comece do começo, com perdão da redundância!

Busque referenciais em relação ao time que será contratado, pois é importante que tenha uma trajetória de anos de serviços prestados na área de concentração da consultoria, Direito Digital, por exemplo.

Profissionais especializados e altamente capacitados em relação à LGPD são, de fato, raridade. Fuja, portanto, do profissional overnight – profissional que do dia para noite fez um curso na internet, obtendo uma certificação internacional qualquer – e resolveu ser consultor da área. A inexperiência desses profissionais, atrelada a atitudes desequilibradas, podem adoecer o seu negócio ou, no campo público, inviabilizar a sua operação.

Ademais, lembre dos ensinamentos da Vovó: o barato pode sair caro!

Como dito, ser capacitado em relação à LGPD, na prática, é raridade. Leva horas e horas de estudos, execução prática de projetos e maturidade profissional para validar as entregas. Aqui não cabe o famoso “jeitinho brasileiro”. Procure saber qual a metodologia de trabalho, quais ferramentas de extração do mapeamento de dados (data lineage tools), como se entrega o inventário de procedimentos/fluxo de dados e se executa o plano de PD&P, na prática.

Verifique se a Consultoria de Implementação da LGPD apresenta-lhe um planejamento para cultura de dados que tenha um olhar mercadológico ou, em alguns casos, um olhar para as finalidades do órgão público, capaz de criar um discurso de marketing pujante, que transmita segurança para todo indivíduo que se relacione com a organização.

Além de tudo isso, a consultoria deve ter afinidade com normativas internacionais, como a GPDR, legislação de proteção de dados europeia, a qual exerceu forte influência na sistematização da LGPD brasileira. Isso trará um arcabouço teórico que auxiliará, da melhor forma, a resolução de problemas que ainda estão latentes e ainda não foram enfrentados pela ANPD.

Por fim, é importante que a consultoria guarde uma forte correlação com o universo jurídico, pois isso permitirá uma maior otimização das estratégias legais a serem desenvolvidas pelo encarregado de dados (DPO), auxiliando-o na revisão ou formulação de contratos, termos de uso, políticas de privacidade, políticas de cookies e manuais de padronização de governança de dados, entre outras inúmeras atribuições direcionadas ao DPO, preparando de fato este profissional para ser a referência da organização nos processos e procedimentos de tratamento de dados.