Em 28 de janeiro comemora-se o Dia Internacional da Proteção de dados. A data tem especial significado no contexto brasileiro, já que é a primeira vez que o Brasil irá celebrar o dia com a Lei Geral de Proteção de Dados Pessoais (LGPD) em sua plena vigência, visto que, desde de agosto do ano passado, a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar penalidades às organizações em casos de descumprimento da norma.
Com o Judiciário e a ANPD atuando, o cenário é de atenção redobrada mesmo para as empresas que já realizaram programas de implementação da lei e o grande desafio atual é o de permanecerem em conformidade ao longo do tempo.
Frequentemente as organizações, após implementarem a LGPD, acabam afrouxando seus controles ou, em muitos casos, passam a ignorá-los. Como a atualização contínua é uma determinação legal (art. 50, §2º, I, h, da LGPD), essa atitude acaba por deixar as empresas em desacordo com a legislação, o que pode ter graves consequências, como multas ou outras penalidades.
No art. 50, §1º, a LGPD deixa claro que a ANPD pode reduzir o peso das sanções levando em conta, entre outros critérios, a adoção reiterada de mecanismos para minimização do dano e voltados para o tratamento seguro de dados, a adoção de boas práticas e governança e a pronta adoção de medidas corretivas. Como a lei traz o princípio da responsabilização e prestação de conta (art. 6º, X, LGPD), é possível que os parâmetros para multas administrativas também venham a ser usados em demandas judiciais.
A conformidade contínua com a LGPD é importante também por diversas outras razões. A primeira delas, trata do treinamento periódico sobre as melhores práticas. É comum que novos funcionários ingressem na organização e desconheçam os processos que garantem a segurança da privacidade. Além disso, como a aprendizagem organizacional requer redundância para ser efetiva, mesmo os trabalhadores veteranos necessitam de novas capacitações.
O segundo ponto trata da inclusão de novas atividades ou processos de trabalho desenvolvidos pelas empresas. Isso vai requerer, de um lado, a atualização do Registro de Operações de Tratamento de Dados Pessoais. De outro, por força de lei (art. 46, §2º, LGPD), as organizações vão ter de introduzir medidas de segurança, técnicas e administrativas que protejam dados pessoais contra violações desde a sua concepção dos novos projetos, o que requer uma cuidadosa análise de conformidade com a lei.
Em terceiro lugar, o impacto e a probabilidade dos riscos mudam ao longo do tempo. Especialmente em contextos dinâmicos, no campo da tecnologia e da inovação, é necessário revisar análise e gestão de riscos de forma periódica, a fim de não ser surpreendido com violações de dados pessoais por causa de programas de privacidade desatualizados.
Uma quarta razão refere-se ao fato que muitas empresas possuem dificuldades em manter a conformidade ao longo da cadeia de fornecimento. Isso pode decorrer da própria dinâmica do mercado, o que pode levar à constante troca de fornecedores de serviços, aumentando a necessidade de atenção de conpliance em relação a novos fornecedores. Mas pode ocorrer também do afrouxamento de controles dos próprios fornecedores, aumentando os riscos de violação de dados pessoais.
A ausência de uma revisão periódica dos programas de conformidade, por fim, é ruim também porque impede a progresso dos processos de trabalho e das práticas de segurança de informação e privacidade, limitando a aprendizagem organizacional. No âmbito das melhores práticas, as ISO 27.001 e ISO 27.701 recomendam a implantação de melhoria contínua do Sistema de Gestão de Segurança de Informação e Privacidade, e, ao não seguir essa recomendação, há a redução da eficácia dos programas de governança.
Para assegurar a conformidade com a lei, portanto, não basta a criação de um programa de conformidade com a lei, a implementação de algumas medidas e, depois, esquecer o assunto. É preciso atenção constante para o avanço contínuo das práticas de compliance com a LGPD.