Às vésperas de entrar em vigor, a Lei Geral de Proteção de Dados vem tirando o sono de muitos gestores, já que esta exige uma longa jornada das organizações. Essa jornada acarreta emprego de recursos temporais, humanos, financeiros e tecnológicos. Embora, num geral, as grandes organizações tenham saído na frente e já estejam se mobilizando, as pequenas ainda estão no modo sobrevivência, por conta da pandemia da COVID-19.
Em relação à maturidade da adequação de uma organização, em relação à LGPD, podemos tomar como base (ZADEK, 2004, p. 12), e considerar que as organizações passam por diferentes estágios que as direcionam rumo à responsabilidade corporativa. A seguir são apresentados estes estágios e as suas relações com a Lei:
- Defensivo: A fim de se defender dos contra-ataques à sua reputação que, em curto prazo, poderiam afetar sua marca, a organização passa a negar o impacto da LGPD e suas próprias responsabilidades com o tema. Geralmente as organizações que estão neste estágio, propagam que esta Lei não seguirá adiante devido à sua complexidade ou que só impactará as grandes organizações, e que não cabe a elas dispender esforços neste tocante. Tal posição acarreta uma negação das práticas, impactos, consequências e responsabilidades e, desta maneira, tais organizações se colocam em risco constante de receber sanções da ANPD e/ou ações movidas pelos titulares lesados, na esfera da justiça comum;
- Conformidade: A empresa adota uma nova política, em observância aos seus custos de negócio, a fim de tornar essa política corporativa visível aos seus críticos. Nesse caso, a organização garante uma conformidade com sua nova política, contudo, faz o estrito necessário para estar em compliance com o arcabouço jurídico-regulatório da LGPD. Geralmente tais organizações utilizam apenas recursos próprios, isto é, recursos humanos internos, e suas políticas preveem apenas o necessário. Desta maneira, a organização adota uma abordagem formal de conformidade, entretanto, muitas vezes parcial e superficial. Tais ações visam a mitigação da erosão do valor econômico, em virtude do risco constante de litígio, danos à reputação, sanções da ANPD e/ou ações movidas pelos titulares lesados, na esfera da justiça comum;
- Gerencial: A empresa percebe que está enfrentando um problema de longo prazo e que não pode ser resolvido com tentativas exclusivamente internas, relacionadas à conformidade ou a estratégia de relações públicas. Assim, passa-se a incorporar questões efetivas e mais abrangentes, no que se refere aos arcabouços da LGPD. Geralmente, tais organizações contratam recursos externos, como por exemplo, consultorias jurídicas e de TI, que muitas vezes possuem visões mais amplas e voltadas exclusivamente ao conteúdo da LGPD, entretanto não fazem outras considerações, como por exemplo, a observação ao conteúdo descrito disponível nas normas técnicas da ABNT/ISO, para se adequarem de maneira mais sólida;
- Estratégico: Na fase estratégica, a empresa passa a realinhar a sua estratégia, para lidar com boas práticas empresariais responsáveis, buscando obter vantagens sobre a sua concorrência e contribuir para o sucesso da organização a longo prazo, com isso, busca estar plenamente em compliance com a LGPD. Geralmente, tais organizações contratam recursos externos, como por exemplo, consultorias jurídicas e de TI, que possuem visões relacionadas aos arcabouços jurídico-regulatório e normativo-técnico, associadas à LGPD, e passam por uma adequação mais plena, visando vantagem competitiva. Contudo, muitas delas, não passam por auditorias de 3ª parte e independentes, a fim de validar suas adequações; e
- Civil: Nesse estágio, há uma busca pela promoção da participação de toda a organização em questões ligadas à responsabilidade corporativa. Essas organizações buscam ampliar seu valor econômico, de longo prazo, superando as desvantagens de antecipação e obtendo ganhos vindos da ação coletiva, fazendo com que todos os seus colaboradores ajam em conformidade com suas políticas. Geralmente, tais organizações contratam recursos externos, como por exemplo, consultorias jurídicas e de TI, que possuem visões relacionados aos arcabouços jurídico-regulatório e normativo-técnico, relacionados à LGPD. Após suas adequações, contratam auditoria de 3ª parte, independente, a fim de obter certificado ou declaração de conformidade, com critério baseado em norma técnica, de acordo com as boas práticas internacionais. Estas organizações promovem ampla participação dos setores econômicos que fazem parte de seus contextos, na responsabilidade empresarial de estar em compliance com arcabouço jurídico-regulatório.
O arcabouço jurídico-regulatório sobre proteção e privacidade de dados pessoais é constituído pelo conjunto de prescrições escritas que emanam das autoridades brasileiras e impõe a todos os indivíduos desta sociedade a obrigação de submeter-se a ele sob pena de sanções (SUPREMO TRIBUNAL FEDERAL, 2020). Contudo, tal arcabouço não diz “como fazer”, e é neste ponto que algumas organizações se perdem. É indicado então, que tais organizações recorram às normas técnicas. Segundo a Associação Brasileira de Normas Técnicas (ABNT), as normas técnicas podem ser entendidas como:
Documentos estabelecidos por consenso e aprovados por um organismo reconhecido, que fornece regras, diretrizes ou características mínimas para atividades ou para seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto. A norma é, por princípio, de uso voluntário, e quase sempre é usada por representar o consenso sobre o estado da arte de determinado assunto, obtido entre especialistas das partes interessadas.
Associação Brasileira de Normas Técnicas, 2020.
Tais normas trazem luz ao tema relacionado, e a busca das empresas pela adequação à LGPD e seu arcabouço jurídico-regulatório, e podem ser consideradas boas práticas mundiais no tocante à proteção e privacidade de dados pessoais. Tal arcabouço normativo-técnico é voluntário, ou seja, a sua utilização não é obrigatória por lei. Entretanto, caso uma organização opte por não segui-lo, seguramente realizará parte dos seus esforços em vão, além de empreender esforços adicionais, e provavelmente não estará majoritariamente em compliance com a LGPD. Isto poderá ocorrer, entre outros fatores, ao desconhecimento dos riscos envolvidos nesses processos, por parte das empresas. Cumpre ressaltar que estar em conformidade com as boas práticas internacionais servirá de atenuante junto às autoridades (ANPD ou juízes da justiça comum), pois demonstrará esforço técnico para cumprir a Lei.
Existem diversos recursos que podem ser usados pelas organizações para o alcance de seus objetivos, além, simplesmente, de recursos financeiros. Em geral estes recursos podem ser classificados como tangíveis ou intangíveis. Podem ser classificados também em recursos humanos, físicos, organizacionais e tecnológicos. Além desses recursos, as capacidades e competências internas da organização também devem ser considerados e compõem outros elementos da estratégia da empresa para que elas possam obter os resultados desejados (SOARES, 2019, p . 24).
Segundo Barney (1991, p. 101), recursos são todos os bens, capacidades, processos organizacionais, atributos da empresa, informações e conhecimentos controlados pela organização que permitem a concepção e implementação de estratégias que melhoram seu desempenho. Em relação à adequação ao arcabouço jurídico-regulatório da LGPD, as organizações têm as seguintes opções:
- Utilização exclusiva de recursos internos;
- Utilização de recursos internos e externos;
- Utilização exclusiva de recursos externos; ou
- Não utilização de nenhum tipo de recurso.
Ressalta-se que é indicado que as organizações que forem contratar recursos externos, busquem empresas que tomem como base os arcabouços jurídico-regulatório e normativo-técnico. Em relação à adequação por parte das empresas, são especialmente importantes as competências jurídicas e de tecnologia de informação (TI).
Referências:
BARNEY, J. B. Firm resources and sustained competitive advantage. Journal of Management, v. 17, n. 1, 1991, p. 99-120, p. 101.
SOARES, Cristiano Sausen. Interação dos recursos estratégicos e uso do sistema de custos e seus reflexos na qualidade da gestão pública municipal. Dissertação (Doutorado em Contabilidade) – Centro Socioeconômico, Universidade Federal de Santa Catarina, Florianópolis, 2019. Disponível em: https://repositorio.ufsc.br/bitstream/ handle/123456789/206266/PPGC0181-T.pdf?sequence=-1. Acesso em: 10 set. 2020.
SUPREMO TRIBUNAL FEDERAL. Constituição. Disponível em: http://www.stf.jus. br/portal/constituicao/constituicao.asp. Acesso em: 10 set. 2020.
ZADEK, S. Path to Corporate Responsibility. Harvard Business Review: 2004, p. 12.