No Brasil da LGPD, todo dia é “Dia da Marmota”!

Quem ainda não viu o filme “O Feitiço do Tempo” (Groundhog Day), de 1993, deveria ver para se divertir bastante. Quem viu se lembra do protagonista vivido por Bill Murray acordando sempre no mesmo dia, o “Dia da Marmota” (Groundhod Day). Acontece que 2 de fevereiro, é o dia em que se observa o comportamento de uma Groundhog (marmota) após sua hibernação para prever a chegada da primavera. Se voltar para a toca, o inverno durará por mais tempo, se não voltar a primavera virá mais rapidamente.

Coincidentemente, Marmota, na gíria brasileira, significa “Comportamento de quem tenta enganar; artimanha, ardil.” e desde que os empresários começaram a ver na LGPD uma fonte de problemas, algumas pessoas começaram a ver uma fonte de dinheiro fácil garantido em tempos de crise. Temos muita gente séria e competente fazendo um excelente trabalho, mas não há um dia que não vejo algo absurdo acontecendo.

Tenho acompanhado o discurso de vários “especialistas” nesta área, onde o conhecimento ainda está ainda em construção, com afirmações cheias de certeza e rasas em consistência. Todos os dias da marmota eu vejo:

  • Especialistas “fast track” em privacidade de dados em um país que mal descobriu o que isso significa;
  • Gente falando em “implementar a LGPD”, como se ela fosse uma norma ISO;
  • Gente tratando a LGPD como se fosse só uma questão de adequar contratos
  • Afirmações ufanistas, de que o erro e pensar na LGPD como se fosse a GDPR;
  • Pessoas tentando cumprir a lei sem entender o porquê de suas exigências;
  • Consultores gerando prejuízo com procedimentos e exigências inúteis e desnecessários;
  • Soluções de fachada, que deixam os clientes descobertos legalmente;
  • Sites com mais de 30 Cookies obrigatórios, alegando que sem os quais ele não funciona
  • Péssimas interpretações da lei, visivelmente fruto de arrogância e falta de estudo
  • Preocupações com “implementar”, e não em realmente se adequar e gerir os riscos

Para deixar claro, não se trata de discurso da concorrência. As empresas em que trabalho focam no Software e capacitação para gestão de riscos e conformidade com as leis de privacidade e proteção de dados, nenhuma delas oferece o serviço de adequação. Trabalhamos em parceria com alguns dos mais competentes profissionais do Brasil, pessoas que estudam há anos os modelos Europeus e Americanos de gestão da privacidade e bebem de uma fonte muito rica. Essa é a única forma de fazer a coisa certa.

A LGPD veio para ficar e para mudar a forma de trabalhar das empresas. Daqui há 20 anos tratar a proteção de dados e privacidade será tão corriqueiro (não fácil) como gerar uma folha de pagamento, mas precisamos entender que não há atalho, as empresas têm que absorver e internalizar a cultura de privacidade, mesmo que utilize um DPO externo como serviço. O processo a ser criado é um processo de gestão de riscos e como qualquer outro risco na empresa ele precisa ser compreendido e monitorado pela alta gestão.

Por último, gostaria de avisar que Banner do tipo “ao entrar no site você aceita o que eu botar na sua máquina” ou processos mal documentados em planilhas sem sentido podem causar a ilusão de conformidade, mas na realidade elas não atingem o objetivo da lei, que é proteger a privacidade dos titulares. Não importa o que você fez, importa o resultado.

Ações de fachada (marmotas) podem até te livrar das multas, mas elas não passam de 2% do faturamento da empresa, seu risco verdadeiro está na ineficiência dos seus controles, que podem ocasionar um passivo legal que não tem limite nem em número de processos, nem em honorários e custas, muito memos em indenizações.

Por isso, digo que todo dia quando começo a ver as implantações de privacidade eu vejo as mesmas marmotas, e enquanto as pessoas não se profissionalizarem e as empresas levarem a situação como uma mudança de paradigma, todo dia será mais um “Dia da Marmota” no Brasil da LGPD.

Fernando Fonseca, EXIN DPO, CISSP-ISSAP, CISM, ISO 27001 LA, CHFI, MCSE Security, Security+, ACE

    • Instrutor desde 1993, certificado pela Microsoft, CA, Conectiva, EC-Council, PCI e EXIN
    • Trabalha com Segurança da Informação desde 1999
    • Professor em cursos de graduação e pós-graduação
    • Presidente do capítulo Belo Horizonte da ISACA
    • Ex-Vice-presidente do ISSA Brasil Chapter
    • Palestrante e autor de artigos em diversas práticas de Segurança da Informação
    • Sócio Diretor na Antebellum Capacitação Profissional
    • Co-founder and Chief Innovation Officer (CINO) na Privally Management Software

Conheça o programa de PDPE (base LGPD):    Download Guide, Simulado e Workbook