Adriano Mendes, sócio fundador, e Ana Carolina Teles, especialista em Proteção de Dados do escritório Assis e Mendes Advogados
Falta de cultura focada na proteção de dados, mentalidade retrógrada e soluções caseiras são os principais entraves, na avaliação de dois especialistas no assunto, o advogado e um dos primeiros DPOs do Brasil, Adriano Mendes, e a advogada especialista em Proteção de Dados, Ana Carolina Teles
Rose Crespo
Com o início da aplicação das sanções da Lei Geral de Proteção de Dados (LGPD) a partir deste mês de agosto, as empresas ainda enfrentam dificuldades para implementar uma cultura organizacional focada no cuidado com os dados pessoais. E mais: gestores da alta administração podem complicar ainda mais o processo. “A mentalidade retrógrada de algumas pontes importantes também pode ser uma dificuldade nesse processo. Tudo isso impacta nas decisões essenciais para a implementação da LGPD, como, por exemplo, investir em uma consultoria especializada para cuidar do assunto.”
É a avaliação de dois profundos conhecedores do assunto, atuantes no escritório Assis e Mendes Advogados: Adriano Mendes, sócio fundador e especialista em Direito Digital e Empresarial, e Ana Carolina Teles, especializada em Proteção de Dados, da equipe de Privacy da banca.
Entre as várias atividades que exerce, Mendes presta hoje consultoria jurídica voltada para companhias dos mais diversos setores, atendendo há mais de 15 anos empresas de TI nacionais e estrangeiras, além de ser membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, do Conselho de Inteligência Jurídica da Assespro Nacional, entre outras organizações.
Já Ana Carolina Teles coordena a Assis e Mendes Academy. É especialista em Direito Digital, Tecnologia e Proteção de Dados Pessoais pelo Data Privacy Brasil (DPB), ITS/RJ e ESAOAB/SP.
Em entrevista exclusiva ao Law Innovation, ambos os profissionais avaliam o cenário brasileiro em relação à aplicação da LGPD. Muitas empresas, constatam eles, preferem começar o processo internamente e depois são levadas a contratar uma consultoria para resolver todos os problemas que surgem ao longo do caminho.
Para Mendes, considerado um dos primeiros DPOs do Brasil, certificado para tanto pela Universidade de Maastricht, na Holanda, as organizações sofrem para mudar sua cultura, que hoje não dá muita atenção ao cuidado com dados pessoais, não havendo uma política efetiva voltada para protegê-los.
Embora as multas já possam ser aplicadas, os advogados avaliam que o processo de adequação está abaixo do esperado, como mostram estudos de mercado. “Esperamos que toda e qualquer organização que ainda não olhou para LGPD com o devido cuidado o faça o mais rápido possível.”
Entre as muitas questões que envolvem o tema, a Câmara dos Deputados defendeu que a aplicação de penalidades poderia ficar para janeiro de 2022. Para eles não há tempo hábil para tal proposição e o novo adiamento não é interessante para a LGPD. O assunto, argumentam eles, já é discutido desde 2010 e a lei foi aprovada há três anos, ou seja, não se pode alegar que não houve prazo suficiente.
Os especialistas destacam a relevância do tema para a sociedade como um todo. Sobre a importância dos dados, Mendes faz, a propósito, uma comparação interessante: eles são como o urânio que, ao mesmo tempo em que pode criar energia renovável, permite o desenvolvimento de bombas atômicas.
A seguir, a íntegra da entrevista com os dois advogados.
Law Innovation – Qual a sua avaliação sobre a implementação da LGPD no Brasil? Quais as maiores dificuldades que as empresas enfrentam nesse processo?
Adriano Mendes – Antes de mais nada, temos que ter em mente que a LGPD não é a inimiga. Ela não veio para travar o tratamento de dados, apenas para regulamentar essa questão. Ela é só mais uma norma à qual devemos estar adequados. A maior questão no Brasil é que não temos muita bagagem cultural em relação à privacidade e proteção de dados. Isso se torna ainda mais discrepante quando nos comparamos com outras regiões, como a Europa, na qual desde 1950 já se vem discutindo sobre a necessidade de uma legislação específica sobre este assunto e em 1970, inclusive, já havia a publicação de normas nesse sentido.
As empresas, portanto, sofrem muito para implementar uma cultura organizacional que preza pelo cuidado e carinho em relação aos dados pessoais. Inclusive a mentalidade retrógrada de algumas pontes importantes da alta administração também pode ser uma dificuldade nesse processo. Tudo isso impacta nas decisões essenciais para a implementação da LGPD, como, por exemplo, investir em uma consultoria especializada para cuidar do assunto. Percebemos que muitas empresas decidem iniciar esse processo internamente, mas, na realidade, isto acaba causando maiores problemas do que soluções, fazendo com que, posteriormente, elas sejam obrigadas a contratar uma consultoria para resolver toda a situação.
Portanto, considerando que as multas da LGPD começarão a valer a partir de 1º de agosto – e que as últimas estatísticas de empresas adequadas à LGPD estão muito abaixo do esperado (conforme estudo da empresa Logicalis) –, esperamos que toda e qualquer organização que ainda não olhou para LGPD com o devido cuidado o faça o mais rápido possível.
Law Innovation – Qual o impacto do atraso na criação da ANPD? A autoridade tem evoluído em sua agenda? O que você destacaria em relação à sua portaria publicada no início deste ano?
Ana Carolina Teles – O atraso na criação da ANPD impacta diretamente no fomento da cultura da importância da privacidade e da proteção dos dados pessoais em nível nacional e, além disso, causa uma sensação de impotência, já que, sem uma autoridade para fiscalizar a legislação, a LGPD acaba sendo encarada por muitos setores da economia como uma lei “para inglês ver”. A agenda regulatória publicada em janeiro deste ano está sujeita a críticas, evidentemente, mas entendo que há um senso prioritário que faz sentido. Por exemplo, a questão da regulamentação diferenciada para microempresas, PMEs, EPPs, startups e pessoas físicas, que tratam dados pessoais com fins econômicos. De fato, essa questão é muito importante, pois, a exemplo da GDPR que traz flexibilizações relativas a esse nicho de mercado, a LGPD deve também compreender como incentivar o cumprimento de suas normas sem travar o negócio do pequeno e médio empreendedor.
Law Innovation – Há um projeto da Câmara dos Deputados que defende que as multas sejam aplicadas a partir de janeiro de 2022. Você acredita que o novo adiamento é importante, considerando o cenário da pandemia que afeta o país?
Adriano Mendes e Ana Carolina Teles – No decorrer de 2021, de fato, surgiram algumas discussões no sentido de adiar novamente a aplicabilidade das multas da LGPD. Agora, acreditamos que não há o que se falar desta possibilidade, pois não há tempo hábil para tal. Os impactos econômicos da pandemia da Covid-19 no Brasil, até o momento, são uma caixa preta, já que podem nos assombrar por anos a fio até conseguirmos nos reerguer como nação.
Mas, para a LGPD, esse novo adiamento não seria satisfatório, já que uma legislação voltada a este assunto já está em discussão desde 2010, no antigo Ministério da Justiça, e o seu texto final foi aprovado há mais de três anos, em 2018, na vigência do mandato do antigo presidente interino Michel Temer. Então, o argumento de que é necessário mais prazo para adequação à legislação não parece muito correto, pois não podemos dizer que não tivemos tempo para realizar as mudanças necessárias requeridas por essa nova lei.
Law Innovation – Em recente consulta pública, entidades setoriais defenderam que a aplicação da LGPD deveria considerar o porte das empresas. PMEs, por exemplo, não deveriam ser obrigadas a contratar um DPO por conta dos custos para o setor. Como vocês avaliam essas questões?
Ana Carolina Teles – Como falei, esse assunto é muito relevante para a nossa sociedade em si e, por isso, a Agenda Regulatória foi perspicaz por incluir este ponto em seu cronograma. A flexibilização deve ser avaliada, mas essa análise vai muito além do número de colaboradores da empresa e o valor do seu faturamento. Por exemplo, o WhatsApp, à época da sua aquisição pelo Facebook, não possuía mais de dez funcionários. Portanto, se levássemos em consideração a quantidade de colaboradores, a flexibilização poderia abarcar uma empresa que hoje possui cerca de dois bilhões de usuários em seu sistema, ou seja, ela respira dado pessoal. Portanto, entendo que devemos ter cuidado quando formos analisar e regulamentar questões voltadas às flexibilizações das regras da LGPD. Muita empresa gigante pode não ter o volume de tratamento de dado pessoal que uma startup possui. Assim, sopesando essa questão principal, acredito que podemos chegar a um consenso justo e equilibrado.
Law Innovation – Qual o papel do DPO nesse processo? Qual o perfil do profissional mais indicado para ocupar esse posto?
Adriano Mendes – O DPO vai servir como uma ponte de apoio da empresa, facilitando a comunicação com titulares e autoridades governamentais. Também é papel dele certificar que o programa de governança esteja de acordo com as normas de proteção de dados, dialogando com todos os integrantes do Comitê de Privacidade/Governança. A LGPD não determina qual seria a formação necessária para exercer este cargo, mas, em nossa experiência, vemos que advogados e/ou conhecedores da legislação podem desempenhar bem essa função, além de profissionais de segurança da informação e/ou de tecnologia que lidam com normas com esse viés.
Law Innovation – Há uma carência de profissionais capacitados para o posto? Como você acredita que o Brasil poderá suprir essa carência?
Ana Carolina Teles – Acredito que existem algumas questões nesse sentido. Ao mesmo tempo em que temos pesquisas que demonstram que há falta desse tipo de profissional no mercado, no nosso meio, existe também uma supervalorização da função, bem como o desconhecimento do que este profissional realmente precisa fazer no decorrer da prestação dos seus serviços. O DPO não é o profissional mais importante no meio das questões que envolvem privacidade e proteção de dados na empresa, sendo apenas mais um braço de apoio da diretoria.
Assim, é importante que o Brasil utilize sim a Europa como benchmark para compreender a importância e a real função do DPO para poder se tornar referência, mas também entenda as nossas próprias diferenças nesse processo. As certificações disponíveis no mercado podem ser importantes para o nosso currículo, mas compreender o dia a dia da empresa e relacionar tais fatos com os princípios da LGPD de forma assertiva é o que, de fato, fará a diferença na vida deste profissional.
Law Innovation – Quais os conselhos que vocês dariam para quem pretende seguir essa carreira? Como o DPO deverá trabalhar dentro da empresa para garantir a sinergia com as demais áreas e colaboradores?
Adriano Mendes – O DPO precisa ser encarado como esse braço direito da diretoria, mas que, além disso, possui real autonomia para executar as suas funções. É necessário sempre certificar que o programa de governança está em pleno funcionamento e, no caso de falhas, trabalhar junto com o Comitê interno para corrigi-las. Além disso, ele deve ser capacitado pela alta administração para encerrar qualquer tipo de atividade de tratamento de dados que esteja em desacordo com a LGPD.
Costumo sempre dizer que o dado é como o urânio, ele é capaz de trazer inúmeras vantagens para a nossa vida, no entanto a má utilização dos dados também pode trazer danos irreparáveis. O mesmo ocorre com o urânio: ele tem a capacidade de criar energia renovável, mas, ao mesmo tempo, também pode ser responsável por criar bombas atômicas. Se o DPO tiver isto em mente, tudo pode funcionar de forma mais transparente, inclusive no que tange à sua relação com as demais áreas da empresa.
Law Innovation – Compartilhem conosco um pouco de sua trajetória profissional
Adriano Mendes – Sou advogado especialista em Direito Digital e Direito Empresarial, com mais de 15 anos de experiência na área corporativa de empresas de TI nacionais e estrangeiras. Por ter trabalhado em grandes companhias de tecnologia, sempre me senti muito ambientado com esse meio e é com uma grande satisfação que presto consultoria jurídica voltada para negócios e empresas de tecnologia. Também sou autor de livros e pareceres e possuo LL.M. em Direito e Economia Europeia pelo Instituto de Ensino e Pesquisa (Insper), MBA em Fusões e Aquisições pelo IICS e pós-graduação em Contratos pela PUC/SP.
Além disso, sou membro efetivo da Comissão de Ciência e Tecnologia da OAB/SP, do Conselho de Inteligência Jurídica da Assespro Nacional, secretário geral da Câmara de Mediação e Arbitragem da Assespro São Paulo, responsável jurídico da Associação Brasileira de Provedores de Hospedagem (Abrahosting) e da Assespro São Paulo.
Especificamente na área de Proteção de Dados Pessoais, fui reconhecido e citado pela Revista VOCÊ SA/Exame.com como um dos primeiros DPOs do Brasil pelo trabalho que já desenvolvia em relação aos clientes nacionais e estrangeiros para a GDPR. Também fui convidado e me tornei palestrante internacional, comparando a legislação brasileira com a GDPR europeia na Universidade de Lisboa/Portugal, tendo a possibilidade de posteriormente palestrar também no Senado Federal e outras instituições.
Também acompanhei o processo legislativo da Lei 13.709/18 e palestrei sobre o tema no Senado Federal (https://youtu.be/CZgi1A8Wf6Y) e na Faculdade de Direito do Universidade de Lisboa. Sou professor da grade de DPO e do curso de LGPD da Associação Brasileira de Empresas de Software (Abes), além de ministrar cursos em outras entidades de ensino.
Ana Carolina Teles – Sou idealizadora do DadosCast – PodCast do Assis e Mendes e coordenadora do Assis e Mendes Academy. Bacharel em Direito pela Universidade de Itaúna (UI) e pós-graduada em Direito Processual Civil, pela PUC/MG. Sou especialista em Direito Digital, Tecnologia e Proteção de Dados Pessoais pelo Data Privacy Brasil (DPB), ITS/RJ e ESAOAB/SP.
Além disso, sou membro efetivo da Comissão de Direito Digital e Tecnologia da Subseção da Jabaquara – OAB/SP, da ANADD e da ANPPD. Também tenho as seguintes certificações: OneTrust Certified Privacy Profissional, EXIN – Information Security Management Foundation (ISFS) ISO IEC 27001.
Parabéns pela matéria.