Ainda é comum se referir à nova Lei Geral brasileira de Proteção de Dados/LGPD, a Lei no 13.709/2018, enquanto um espantalho. Seria mais uma regulação, dentre tantas as outras já existentes, que travaria a economia e a inovação no país. O pessimismo é destilado através do medo. Quem não estiver em conformidade com a nova legislação amargaria prejuízos de até R$ 50 (cinquenta) milhões de reais, uma das suas penalidades previstas. Deveria ser o contrário, empresas e órgãos públicos precisam enxergar na nova regulação uma janela de oportunidade, refletindo sobre o quanto poderão ganhar e se tornarem mais eficientes ao se adequarem à nova lei.
A LGPD parte da premissa que toda a organização deve não só conhecer os dados que possui, mas, sobretudo, convertê-los em uma informação útil. Todo o sistema gira em torno da lógica em se criar uma trilha auditável do dado, pela qual o cidadão e os demais agentes econômicos enxerguem todo o seu ciclo de vida e principalmente a sua repercussão nas atividades econômicas e relações sociais que fazem parte. A nova lei não veio para travar o fluxo informacional, mas, muito pelo contrário, estimulá-lo dentro de uma lógica de sustentabilidade entre quem produz essa matéria prima e quem a explora.
Ao prever, por exemplo, que toda e qualquer atividade de tratamento de dados – da coleta, passando pelo compartilhamento ao descarte – deve, dentre uma outra série de princípios, ser especificada uma finalidade, a nova lei ajudará na organização da informação. Infelizmente muitas entidades ainda têm a mentalidade de coletar a maior quantidade possível de dados sem antes refletir sobre a sua real utilidade. Basta abrir nossos smartphones e notar a série de aplicativos que pedem acesso à lista de contatos, câmera, microfone, dentre outras coisas, que são desnecessários para o modelo de negócio ou serviço público que nele roda. O resultado é além da subutilização desses dados, a sua transformação em um elemento tóxico que, depois de “vazado”, ocasionam as catástrofes dessa nova economia movida a dados.
Duas das principais ferramentas de adequação à nova lei seguem essa lógica: mapeamento de dados e relatórios de impacto à proteção de dados. Respectivamente, a organização deve fazer um diagnóstico em torno de todo o seu repositório de informações e, em seguida, um prognóstico acerca de quais práticas devem ser mantidas ou modificadas para assegurar a sua conformidade regulatória. Se realizado de forma adequada, é um exercício que trará novas ideias, sobretudo em torno de dados subutilizados com o potencial de informar novas ações tanto no poder público, quanto no setor privado.
O processo de conformidade não deve ser internalizado como um custo, muito menos enquanto uma papelada para formalmente fazer um “check-list” das obrigações legais. Pelo contrário, deve ser compreendido como um investimento capaz de otimizar e tornar mais eficiente as atividades dos atores regulados. A partir dessa mentalidade, abre-se espaço para que a nova regulação seja um gatilho para: a) a criação de novos produtos e serviços e, até mesmo, a revisão de um modelo de negócio ou de uma política pública, ao invés de servir apenas para a manutenção ou a revisão de produtos e serviços existentes; b) geração de valor através de diagnósticos e prognósticos recorrentes e dinâmicos, ao invés de avaliações estanques focadas apenas no risco regulatório. Enfim, o processo de conformidade passa a fazer parte de um plano maior de gestão baseado em inovação, ao invés de se guiar apenas pelo receio da aplicação de sanções em caso de não conformidade à nova regulação.
Para além desse efeito colateral interno positivo, o processo de conformidade pode ser um ponto de virada especialmente para fora da organização em meio a um mercado extremamente competitivo e de escala global. A grande maioria das leis de proteção de dados pessoais, a exemplo do que fez a europeia (GDPR) e a brasileira, criaram um vínculo de solidariedade entre quem é uma espécie de gestor da cadeia de tratamento de dados – o controlador – e quem é o seu terceirizado – o processador. Se há um eventual dano causado pelo terceirizado, o gestor pode ser acionado diretamente a repará-lo. Nesse sentido, obriga-se, diretamente ou indiretamente, que controladores contratem apenas processadores que estejam em conformidade com as regras de proteção de dados pessoais. Com isso, os próprios atores da cadeia de tratamento de dados mais do que fiscalizaram um aos outros, tendem a escanteiar aqueles não compliants. Portanto, quem estiver em conformidade passa a ter uma vantagem competitiva frente aos seus pares retardatários, o que pode se traduzir, inclusive, na valorização dos seus serviços e produtos.
Em resumo, usando um exemplo mais próximo do leitor em geral e que costumo recorrer em sala de aula, é o da arrumação de um guarda-roupa. Enquanto essa atividade era executada apenas em virtude da pressão de um castigo a ser imposto pelos nossos pais e mães, a arrumação era algo burocrático e que raramente se extraía valor dela. Diferentemente por parte de quem, a curto, médio ou longo prazo, internalizou a tarefa de forma engajada e organizou cuidadosamente as roupas – os dados, transformando-as em informações que otimizaram o processo de tomada de decisão – se preferir os custos de transação – quanto à vestimenta mais apropriada para as diversas ocasiões do dia a dia. Uma organização que não enxerga valor no processo de conformidade regulatória da LGPD, é como seu fosse uma pessoa adulta com um armário desorganizado que, cedo ou tarde, se atrasará para uma reunião ou nela chegará malvestida e terá perdas financeiras e reputacionais.
A nova regulação de dados é uma janela de oportunidade.
Quem compreender e catalisar o processo de conformidade como um dos pilares de um plano estratégico de inovação, colocará ordem na casa e colherá frutos que extrapolam o mero estado de compliance. É um efeito secundário e desejado da nova regulação, o que os economistas costumam chamar de externalidade positiva.
Resta saber por quanto tempo essa janela ainda estará aberta e não congestionada, visando ser, para usar um termo em alta, disruptivo.
Bruno R. Bioni. É consultor independente na área de proteção de dados pessoais. Mestre e doutorando em Direito pela USP e professor-fundador do Data Privacy Brasil.
Artigo publicado no Valor Econômico em 29 de março de 2019.