Evento da IAPP destaca que organizações com atuação em diversos países ou regiões precisam criar um padrão de conformidade em proteção de dados
Como desenvolver um olhar global de proteção de dados que atenda às legislações e peculiaridades de cada país ou região? Esse foi um dos temas abordados no IAPP Global Privacy Summit 2023, que ocorreu no começo de abril nos Estados Unidos. O desafio exige, entre outros aspectos, tecnologia, conhecimento e monitoramento por parte das organizações que atuam em diversas localidades.
O primeiro passo é buscar o alinhamento com as legislações nos países em que essas empresas estão presentes. Isso significa criar um programa de conformidade em proteção de dados que possa atender a todas essas exigências. Mais do que isso: esses programas precisam ser capazes de identificar o grau de rigorosidade de cada autoridade de proteção de dados com base no seu histórico de decisões estabelecendo sanções, como multa e suspensão da autorização para o tratamento de dados pessoais.
“A pergunta central é como definir um modus operandi que permita à organização fazer negócios em qualquer lugar do mundo, respeitando as leis dos países nos quais opera, embora haja diferenças entre eles, e apresentando, por exemplo, uma conduta aceitável nos países que ainda não contam com regulação”, diz Marcos Sêmola, sócio da EY para consultoria em cibersegurança, que esteve no evento para receber homenagem da Associação Internacional de Profissionais de Privacidade (IAPP, na sigla em inglês) como profissional de privacidade do ano na América Latina. “As empresas não têm tempo para aguardar os países convergirem nas leis que regem a proteção de dados. Os negócios precisam ser feitos agora e com segurança jurídica”.
Nos EUA, por exemplo, a autonomia estadual tão presente na realidade do país também se aplica à legislação de proteção de dados. Até o momento, não há uma lei federal que regule essa matéria, mas legislações estaduais, como a CPRA (Lei de Direitos de Privacidade da Califórnia), que entrou em vigor em janeiro deste ano para aumentar a abrangência da CCPA (Lei de Privacidade do Consumidor da Califórnia). Nesse contexto, a dificuldade é ainda maior para as organizações, que precisam identificar e compreender cada uma dessas regulações estaduais.
Para facilitar o trabalho de alinhamento das leis, o que resulta em um programa de privacidade com abrangência global, Sêmola menciona os cinco passos abaixo.
1) Encontre nas legislações as exigências em comum
Algumas obrigações estão em grande parte das quase 140 legislações de proteção de dados existentes no mundo. Os direitos dos titulares, como o de retificar seus dados e o de excluí-los do tratamento realizado pelas empresas, aparecem em boa parte dessas regulações. Ao encontrar aquilo que é comum nas leis, a organização já sabe que tais exigências deverão ser atendidas por seu programa de conformidade.
2) Identifique possíveis zonas cinzentas
A zona cinzenta é tudo aquilo que depende de interpretação. A LGPD (Lei Geral de Proteção de Dados) traz, por exemplo, que só há obrigatoriedade de notificar a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares de dados envolvidos em um incidente de segurança se houver dano ou risco relevante para eles. Aqui passa, portanto, pela interpretação caso o incidente ocorra. Na União Europeia, há necessidade inclusive de cumprir um tempo contado em horas para essa notificação. A solução para as organizações é estabelecer um procedimento que avalie a zona cinzenta para que ela não passe despercebida da equipe de proteção de dados, liderada pelo DPO (Data Protection Officer) ou Encarregado, que deverá analisar cada um dos casos.
3) Saiba as particularidades de cada jurisdição
Claro que nem sempre será possível definir uma solução única para todas as jurisdições. Nesse caso, a empresa deve adotar o método da adaptabilidade, ajustando as regras do programa de conformidade de acordo com o local de aplicação. Esse documento deve prever a conduta apropriada para a legislação do país em questão, com a comunicação prévia dos colaboradores que atuam no local.
4) Monitore a atuação das autoridades nacionais de proteção de dados
As empresas expostas globalmente a leis diferentes de proteção de dados precisam conhecer o posicionamento das respectivas autoridades, que são os órgãos responsáveis pela fiscalização, assegurando o cumprimento das normas.
No Brasil, a ANPD tem demonstrado comportamento amigável voltado para a conscientização e educação dos agentes de tratamento, sejam eles da iniciativa privada, sejam eles do setor público, mantendo diálogo ativo. Essa não é a realidade de todas as autoridades, como as dos países da União Europeia, que está em um estágio mais avançado na cultura de privacidade, com o GDPR (regulamento de proteção de dados) em vigor há mais tempo.
5) Conheça a decisão dos juízes e faça gestão de risco
“Uma competência que as empresas precisam desenvolver é a gestão de risco, que é a materialidade do risco de não reportar, por exemplo, um incidente no tempo correto ou de priorizar uma questão da LGPD em detrimento de outra”, afirma Sêmola. Para isso, as empresas precisam aprender a fazer boas escolhas, entendendo primeiro como os juízes estão decidindo em cada jurisdição. As informações sobre as condenações, incluindo as fundamentações para isso, são relevantes nesse trabalho de gestão adequada do risco.
