Marcos de Souza Gomes*
Neste artigo, trarei de maneira direta, sem juriquês e tecniquês, algumas expectativas para LGPD neste novo ano que inicia, como também para o mercado que se formou em torno desta lei.
Quando estava realizando pesquisas para elaborar esse artigo, me deparei com diversos conteúdos que eram repetições e reproduções entre eles. Acredito, que assim como eu, isso também lhe incomoda leitor e leitora. Sendo assim, busquei abordar temas ora não explorados, ora intrincados.
Desejo a você uma boa leitura.
O mercado esfriará
Se você é consultor para adequação à LGPD, já deve ter notado que, no segundo semestre de 2022, a procura para a adequação diminuiu. Se você é estudante desta área deve ter observado que a disponibilidade de cursos para formação em DPO também.
Isso não quer dizer de maneira alguma que a LGPD “não vai pegar”, porém temos que considerar dois motivos: a) adequações imperfeitas; b) a não aplicação de nenhuma multa pela ANPD desde a entrada em vigor da LGPD.
Estes dois fatores geram descrédito da LGPD pelas organizações.
Sabemos que o mercado de consultoria para adequação à LGPD está mais competitivo a cada ano. Se compararmos com o livro A Estratégia do Oceano Azul de W. Chan Kim e Renée Mauborgne, podemos facilmente identificar que no início da adequação à LGPD, lá em 2018-2019, havia poucos consultores e a demanda era alta (oceano azul), hoje há muitos consultores e baixa demanda (oceano vermelho), o que faz com que naturalmente a briga por preço aconteça. E onde há briga por preço, nem sempre a qualidade anda junto.
De outro lado, a ANPD até o momento não aplicou nenhuma multa, o que possivelmente mudará em 2023. Porém, infelizmente, a maioria das organizações só começará a se mexer quando sentir a famosa dor no bolso. Neste ponto poderemos ter um reaquecimento do mercado.
Uma boa perspectiva para os consultores é o possível retorno de clientes buscando a verdadeira adequação à LGPD, quando as multas começarem a acontecer. Muitas organizações fizeram apenas a adequação jurídica, ou apenas a adequação técnica, e é meu dever lembrar que a LGPD uni duas áreas: Jurídico e Segurança da Informação. Se a sua organização realizou apenas uma delas, provavelmente há um gap a ser preenchido e pode ser que estejas passível de sanções ou multas.
Aumento da conscientização da população
Gradativamente, a população tem conhecido mais sobre a LGPD e seus direitos como titulares de dados pessoais. Podemos medir isso ao buscarmos por “LGPD” no site reclameaqui.com.br, que é um site brasileiro de reclamações contra empresas sobre atendimento, compra, venda, produtos e serviços. Temos mais de 12.000 registros de reclamações contra os mais diversos segmentos de mercado e este número aumenta a cada dia.
Algumas ações do Governo Federal indicam o aumento da conscientização para 2023. Primeiro as publicações da ANPD em uma linguagem acessível e de fácil entendimento. Uma segunda ação importante foi a instituição do Grupo de Trabalho 2 – Ações Educativas pelo CNPD em abril de 2022, que tem como objetivo propor ações educativas e fomento à cultura de proteção de dados e da privacidade. A expectativa é que, além de mais conteúdos, os meios de divulgação sejam diversificados para que possam atingir outros cidadãos.
Agora um ponto que não posso deixar de citar é o Gibi Turma da Mônica, lançado em novembro de 2022, intitulado Turma da Mônica em Proteção aos Dados Pessoais. Este conteúdo está disponível gratuitamente e em 2023 será distribuído em escolas, instituições de ensino, organizações da sociedade civil focados em direitos das crianças e adolescentes. Este ponto merece destaque, pois quando uma empresa privada, capaz de atingir milhões de pessoas, se envolve na divulgação de uma legislação significa que o tema em questão está em evidência. Foi assim, por exemplo, com o Estatuto da Criança e do Adolescente e o Código de Defesa do Consumidor.
Fazendo um link deste tópico com o anterior, quanto maior conscientização, maior a fiscalização da população, maior a quantidade de denúncias, mais multas poderão ser aplicadas, o que pode gerar aquecimento do mercado.
Incentivos fiscais a empresas com projetos de adequação à LGPD
Já pensou adequar a sua organização à LGPD e abater o valor dos investimentos nos impostos?
O Projeto de Lei nº 4 de 2022 visa permitir o desconto de créditos relativos a valores despendidos com investimentos em atividades de adequação e operacionalização da LGPD.
Se o projeto de lei for aprovado, em 2023, as organizações poderão reaver os valores investidos na adequação à LGPD por meio de créditos em seus impostos (PIS, PASEP, COFINS, PIS/PASEP-Importação e COFINS-Importação).
As atividades previstas são:
a) atividades pedagógico-educacionais e culturais de difusão da LGPD;
b) ações de adequação técnico-operacionais da LGPD, assim compreendidas as atividades essenciais e relevantes de assessoria e consultoria técnica, de segurança da informação e jurídica para alcance dos fins a que se destina;
c) bens e serviços utilizados como insumo nas ações e atividades de adequação e operacionalização da LGPD e na produção ou fabricação de bens ou produtos destinados a adequação legal da referida Lei.
No momento da elaboração deste artigo o Projeto de Lei encontra-se em consulta pública e você pode votar aqui.
Agenda regulatória 2023-2024 da ANPD
A ANPD publicou, em novembro de 2022, os temas que deverão ser regulamentados entre os anos de 2023 e 2024. Ao todo, são 20 temas, dentre eles destaco os temas 1, 3 e 18, pois sinalizam uma mudança de postura da ANPD, de orientativa para coercitiva.
1. Regulamento de dosimetria e aplicação de sanções administrativas: Definirá quais as situações em que se aplica uma multa menor ou maior. Em 1º de agosto de 2021, entraram em vigor as multas e sanções e, desde então, a Autoridade vem se preparando para fiscalizar e atuar, porém falta ainda o manual de dosimetria, que deve ser formalizado nos primeiros meses de 2023.
3. Comunicação de incidentes e especificação do prazo de notificação: Definirá como os incidentes devem ser comunicados e prazo para notificação da ANPD e titulares. A lei determina que os incidentes de segurança devem ser comunicados sem prazo razoável, contudo a ANPD já recomendou que seja realizada em até 2 (dois) dias úteis da ciência do fato. No final de 2022, a ANPD divulgou o novo formulário para comunicação de incidentes que deverá ser utilizado a partir de 01/01/2023. Este é um tema amadurecido dentro da ANPD e deverá ser regulado em breve.
18. Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança): A ANPD deverá dispor sobre padrões técnicos mínimos para tornar aplicável o artigo 46 da LGPD, que estabelece que os agentes de tratamento devem adotar medidas de segurança técnica e administrativas. Vale lembrar que existe o guia orientativo de segurança da informação direcionado aos agentes de tratamento de pequeno porte, lançado pela ANPD em 04/10/2021. O guia indica medidas administrativas e técnicas de segurança da informação e um checklist para facilitar a visualização das sugestões que serão adotadas.
Conclusões das expectativas da LGPD para 2023
Para os consultores: o mercado passará por um esfriamento até as multas começarem a acontecer ou até o PL 4/2022 ser aprovado. Invista em diferenciar-se no mercado e criar um serviço inovador para sair do oceano vermelho. Aproveite o tempo para estudar e se aprofundar no assunto. Se você é da área jurídica, se empenhe em conhecer a área de segurança da informação. Se você é da área de segurança da informação, busque conhecimentos jurídicos. Assim, ambos falarão a mesma língua e levarão para os seus clientes a verdadeira adequação à LGPD. Desta maneira, você estará pronto quando o mercado voltar a aquecer.
Para os encarregados/DPO: se você está buscando exercer esta função nas organizações pode ser que não encontre muitas vagas no primeiro semestre de 2023, porém há boas expectativas. Entre março e abril de 2022, a ANPD realizou a tomada de subsídios, por meio de reuniões técnicas, para debater sobre a atuação do encarregado. Desta maneira, a Autoridade escutou especialistas externos para contribuir no processo de regulamentação. Além disso, na agenda 2023-2024 da ANPD, um dos temas é o 6-Encarregado pela proteção de dados pessoais. Portanto, a ANPD deve estabelecer normas sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de indicação. Este é um tema relevante e merece atenção dos encarregados, uma vez que já houve tentativas de direcionar esta função para indivíduos com formação jurídica.
Para as organizações: a população estará mais consciente sobre os seus direitos e a ANPD mudará a sua postura de orientativa para coercitiva. Sendo assim, se a organização já fez a adequação à LGPD deve verificar se realizou a adequação completa (jurídica e segurança da informação), caso não, ainda há tempo. Se ainda não fez sua adequação deve procurar consultorias que possuam em sua equipe profissionais de ambas as áreas, assim você não será surpreendido com sanções ou multas.
Para a população/titulares: à medida que novos conteúdos surgem e a divulgação em outros meios de comunicação ocorrerem, a população estará mais apta a exigir que seus direitos sejam respeitados. Este movimento é muito similar ao que ocorreu com o Código de Defesa do Consumidor há mais de 30 anos. Quando a população em massa começa a exercer os seus direitos, as organizações, públicas e privadas, se adequam.
2023 promete ser um ano bem movimentado quando o assunto é LGPD, não é?
Marcos de Souza Gomes é consultor e auditor de segurança da informação e privacidade na Dédalo Inteligência em Segurança da Informação, atuando em projetos de Certificação ISO 27001, ISO 27701, ISO 27017, ISO 27018, LGPD, Gestão de Riscos, Continuidade de Negócios e Treinamentos.
