Opinião

Cinco erros na implementação da LGPD

O tema da moda para profissionais do Direito e de Segurança da Informação é o processo de adequação de uma empresa à Lei Geral de Proteção de Dados (Lei Federal n. 13.709/2018), conhecida como LGPD. Se não há uma forma única de implementar as medidas necessárias para estar em compliance com a nova lei, há pelo menos algumas práticas que, como mostra a experiência prática, devem ser evitadas:

1.Subestimar os esforços necessários para condução do processo

Há basicamente três maneiras de subestimar os esforços exigidos por um bom plano de adequação à LGPD: a) achando que o assunto pode ser tratado como um projeto corriqueiro e do dia a dia da empresa; b) achando que o assunto pode ser deixado apenas nas mãos de consultorias externas (jurídica ou técnica); c) achando que o assunto não precisa ser preocupação imediata.

Quando a empresa encara o processo como algo simples e do dia a dia, normalmente uma pessoa é nomeada (ou um grupo bastante enxuto de pessoas) como líder(es) do projeto e a empresa delega à ela(s) toda a tarefa de conduzir o processo de LGPD, sem qualquer auxílio. Consequentemente, é comum que a empresa: (i) perca parte relevante do prazo dado pela Lei para adequação e (ii) busque auxílio de assessoria especializada somente quando o projeto já não está caminhando conforme o desejado (o que gera retrabalho, prejuízos financeiros com soluções ineficazes e custos mais elevados). O projeto de implementação da LGPD é algo bastante inédito para a maioria das empresas brasileiras, sem um framework de trabalho delineado por norma técnica ou jurídica, o que gera uma demanda de incomparável complexidade.

Nesse contexto, os trabalhos de implementação da LGPD demandam conhecimentos específicos dos negócios e processos da empresa que só ela tem. Portanto, ainda que sejam contratadas consultorias externas (o que, de fato, é recomendável), será necessário e envolvimento de colaboradores internos para tomar decisões intermediárias, fornecer informações necessárias e, quando for o caso, viabilizar os contatos com as áreas afetadas. A missão de adequar uma empresa à LGPD exige uma força tarefa entre contratante e contratado.


No mais, a LGPD, segundo a versão atual de sua redação, traz o prazo de dois anos para que uma empresa se adeque às novas obrigações (o qual termina em agosto de 2020). Com isso, muitos caem na pegadinha de achar que ainda há tempo, que é possível começar a trabalhar nisso no ano que vem. Erro crasso, já que a experiência europeia com o GDPR (Regulamento Europeu de Proteção de Dados bastante similar à nossa Lei) mostra que esse prazo é curto. Além disso, por lá o trabalho das empresas foi bem menor, pois elas já estavam sujeitas a regulamentação semelhante, enquanto por aqui é tudo novo.

2.Não garantir interdisciplinaridade

Por vezes notamos empresas extremamente preocupadas em definir se o assunto proteção de dados será responsabilidade da área de segurança da informação (SI) ou do compliance/jurídico. No entanto, a responsabilidade por estar em cumprimento é da empresa como um todo e o trabalho de implementação afeta diversas áreas, como RH, marketing e inovação. Além disso, nessa aparente disputa SI x compliance/jurídico, o que muitas vezes acaba ocorrendo é que uma dessas áreas “vence” a queda de braço. Como resultado, a empresa, ao contratar uma assessoria externa por exemplo, foca em apenas um dos eixos, quando, na verdade, um ótimo processo de implementação da LGPD deveria envolver questões técnicas e jurídicas.

3.Partir de premissas legais erradas

“Com a LGPD, o consentimento será necessário para coletar dados das pessoas”. “Meu negócio é totalmente b2b, não preciso me preocupar”. “Tenho muitos dados sensíveis, como CPF”. “Já atualizei minha Política de Privacidade, então estou em compliance”. Essas frases, apesar de frequentes, estão erradas, e isso acontece porque um dos principais desafios da LGPD é que ela não é uma lei simples. Há muitos pontos que exigem conhecimento da regulamentação europeia (fonte de inspiração do legislador brasileiro) e dos debates de anos no Legislativo. Por exemplo, você pode estar fazendo tudo errado se ainda não tem clara a diferença conceitual entre controlador x operador de dados.

4.Não mudar a cultura

Qualquer mudança é difícil, ainda mais uma mudança na cultura de uma empresa consolidada. Mas quem garantiu que o processo de implementação da LGPD seria fácil? O que a LGPD de fato exige é uma mudança de pensamento dentro da empresa, de forma que o tema proteção de dados seja um dos principais pilares de preocupação da organização. Cumprir a LGPD apenas no papel é o mesmo que violar suas disposições. Portanto, a conscientização e o comprometimento dos colaboradores, de modo geral, é parte fundamental do processo.

5.Pensar que o processo tem uma linha de chegada

Não há manual, não há padrões fixos estabelecidos e tampouco há blindagem contra a LGPD. Cada empresa adotará mais ou menos esforços para estar de acordo com a LGPD (dependerá da sua atividade, do seu faturamento e do grau de risco a ser assumido). Mas o que é comum é a necessidade de sempre manter processos, políticas e recursos (materiais ou humanos) aderentes à Lei Geral de Proteção de Dados. Uma empresa nunca poderá ser compliant com a LGPD, mas poderá estar compliant com a regulação, o que evidencia o fato de o trabalho ser contínuo e precisar ser constantemente atualizado.

Como conclusão, embora não haja receita única para o bolo, podemos dizer que os ingredientes estão definidos pela Lei: a execução de um bom programa de implementação da LGPD e, após, a sua manutenção com atualização periódica, de forma a garantir, inclusive, o cumprimento das disposições de boas práticas e governança (previstas inclusive no artigo 50). E você, já está com seu projeto de implementação no forno?

*Luis Fernando Prado Chaves, CIPP/E, é sócio responsável pela área de Direito Digital, Privacidade e Proteção de Dados do escritório Daniel Law. LLM em Direito Digital e Sociedade da Informação pela Universidade de Barcelona. Pós-graduado em Propriedade Intelectual e Novos Negócios pela FGV DIREITO SP. Professor convidado do curso Data Protection Officer da FGV Direito Rio. Coautor dos livros “Comentários ao GDPR” e “LGPD Comentada”, ambos da editora Revista dos Tribunais. Foi pesquisador externo do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV DIREITO SP, onde participou das contribuições ao Anteprojeto de Lei sobre Proteção de Dados (Ministério da Justiça), que resultou na LGPD.

Botão Voltar ao topo