Em menos de um ano, em agosto de 2020, a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), entrará em pleno vigor no Brasil. O período não é tempo demais para as operadoras, que já estão se mobilizando para se adequar à nova legislação. Mas há percalços no caminho. Aprovada com vetos em julho deste ano por meio da medida provisória 869/2018, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não teve a composição do seu conselho diretor definida pelo Presidente Jair Bolsonaro. Isso pode se concretizar em insegurança jurídica para as empresas, uma vez que o órgão garante a aplicação da própria lei.
Além disso, ainda faltam definições na estrutura de governança da ANPD – nesta semana, o Congresso decidiu derrubar alguns dos vetos relacionados à sanções administrativas aplicadas aos agentes de tratamento de dados pessoais.
Os Conselhos de Usuários da Anatel deverão ficar encarregados de acompanhar a implantação de medidas necessárias ao cumprimento da nova legislação. Mas a iniciativa das empresas já começou no momento em que a nova lei foi sancionada pelo então presidente Michel Temer no ano passado.
A Oi possui "uma série de iniciativas em andamento"para se adequar à legislação de dados pessoais, o que significa revisão detalhada de políticas, processos e sistemas. Além disso, a operadora procura estabelecer uma governança que trabalha na revisão e adequação de novos produtos ou iniciativas sob a ótica do "privacy by design".
Por email, o diretor de compliance da Oi, Marcus Braga, destacou o impacto trazido pela situação atual da autoridade. "Entendemos que a demora na formação e implementação da ANPD acarreta em algumas dificuldades no processo de adaptação à LGPD pela falta de um órgão que possa apoiar as empresas no esclarecimento de dúvidas, no suporte à interpretação prática da Lei e no debate mais focado sobre o contexto de proteção de dados no Brasil e no mundo, buscando entender quais serão as principais preocupações do regulador e como as empresas podem estar alinhadas com essas preocupações de forma mais pró-ativa".
A empresa entende que um diretor-executivo específico para o assunto, o Data Protection Officer (DPO), funcionará como intermediário entre ANPD, clientes, reguladores e demais stakeholders, mas destaca que esse executivo possuirá também "atuação fiscalizatória" para tratar do tema. Para tanto, essa pessoa precisaria ter "independência suficiente" para garantir que ocorrências sejam reportadas. Mas um nome ainda não foi escolhido. "Ainda estamos em uma etapa de discussão interna para a formação desta função, considerando sua estrutura, responsabilidades, aspectos de governança e orçamento", declara Braga.
No contexto do plano de investimentos na recuperação judicial, a Oi estuda como será a adequação efetiva à LGPD. "Todo o processo de adequação certamente vai exigir investimentos em processos, pessoas e tecnologia. Estes esforços já estão sendo avaliados para que sejam considerados em nossa próxima rodada de orçamento", finaliza o diretor de compliance.
Benchmark
A Vivo já vem se adequando à LGPD desde agosto do ano passado, quando a lei foi aprovada. Inicialmente, a tele fez um benchmarking com empresas nacionais e internacionais sobre a interpretação da Lei a condução de um projeto de compliance. A operadora desenvolveu um trabalho de mapeamento de processos, sistemas e atividades para a implantação, classificando o assunto como "de atenção e acompanhamento desde a alta administração da companhia".
Segundo afirmou também por email o vice-presidente jurídico da Vivo, Breno Oliveira, uma equipe interna foi formada para se dedicar ao tema. "Temos uma robusta área de gestão de dados e estamos aprimorando ainda mais nossos processos com a estruturação de uma nova área, que será responsável pela gestão de dados dentro da companhia", declara.
Uma consultoria externa para os temas de LGPD foi contratada para apoiar a Vivo no projeto. Internamente, foi montado um grupo multissetorial para a discussão do tema entre diversas empresas, além de seis frentes de trabalho para o projeto: embasamento dos dados; segurança da informação; governança de dados; revisão dos contratos; e atendimento aos titulares dos dados, o que inclui a estruturação da área e do responsável (DPO).
"Desenvolvemos ainda várias ações de comunicação para preparar os colaboradores sobre a LGPD. Estruturamos uma comunicação direcionada, que envolveu a discussão do tema nas reuniões executivas com o CEO [Christian Gebara] e, depois, individualmente com cada vice-presidência e diretorias", declara Oliveira. A operadora realizou treinamentos de gestores de contratos, workshops com gerentes e sessões específicas com os maiores fornecedores. Além disso, canais internos de comunicação e colaboradores receberam informações para a construção de um portal dedicado à Lei, o Portal LGPD.
A expectativa é que a nova lei em si traga impacto nos negócios da Vivo, incluindo no processo de transformação digital. "Todo o processo, certamente, irá acelerar a nossa contribuição para tornar o Brasil cada vez mais digital. Além disso, todas as companhias envolvidas irão gerar mais valor ao cliente", afirma o executivo. Breno Oliveira não mencionou sobre a demora na composição da ANPD, dizendo apenas que a autoridade "corrobora essa missão de transparência, contribuindo para a eficiência da nova lei".
Sem impactos
Também se planejando desde o ano passado, a Algar Telecom instituiu um projeto específico e direcionado para a garantia de cumprimento de obrigações com a adequação de processos e ferramentas, focando especialmente na gestão de mudança organizacional. A operadora tem previsão que possa concluir esse plano pelo menos dois meses antes da Lei 13.709/2018 entrar em vigor, em junho do ano que vem. Além disso, a companhia contará com auditoria externa para se certificar que todos os processos estejam atendendo à nova legislação. Um DPO está nos planos para ficar à frente da operação após a implantação do projeto.
Segundo o diretor de operações e tecnologia da Algar, Luis Lima, a empresa trabalha justamente para que as operações funcionem sem maiores problemas com a LGPD. "Em termos operacionais, o objetivo principal é garantir que todas as obrigações sejam atendidas para que não haja impactos aos negócios", afirma, também por email. "Todos os riscos serão monitorados durante a implementação do projeto, visando a continuidade dos serviços sem quaisquer impactos para os clientes", conclui.
(Colaborou Henrique Julião)
