Falar sobre proteção de dados já não é novidade, afinal, embora a LGPD tenha entrado em vigor apenas em setembro de 2020, a lei havia sido aprovada desde 2018, o que fez com que inúmeros textos, livros, cursos e eventos sobre o tema tenham surgido. Mas, será que tudo isso é suficiente para adequar sua empresa a uma cultura de proteção de dados? O que é necessário para, efetivamente, criar essa cultura de proteção?

Qualquer legislação de proteção de dados traz, sem dúvidas, requisitos a serem cumpridos pelas empresas para que estejam em conformidade com a lei. E não é diferente com a LGPD, que exige, por exemplo, o registro das atividades de tratamento de dados (art. 37), a indicação de um encarregado de proteção de dados (art. 41) e o atendimento a direitos dos titulares (arts. 17 a 22). No entanto, qualquer empresa que decida fazer uma leitura exaustiva da lei para se adequar, implementando todos os controles que entender serem impostos pela lei, terá dificuldades para obter bons resultados caso suas ações se limitem a isso.

A adequação a qualquer lei ou framework técnico depende de muitos fatores: ter recursos humanos que possam absorver novas atividades ou contratar mais pessoas, ter orçamento para realizar a implementação, ter estrutura de governança corporativa, etc.

Governança corporativa é um verdadeiro sistema pelo qual as empresas são dirigidas, monitoradas e incentivadas nos seus relacionamentos com sócios, conselho de administração, colaboradores, clientes, fornecedores, terceiros, órgãos de fiscalização e todas as partes interessadas. Não se trata de algo que possa ser construído da noite para o dia, nem que bastará a contratação de uma consultoria para apontar gaps e indicar ações corretivas.

É algo estruturado, organizado, construído pouco a pouco porque demanda o entendimento dos objetivos e interesses da empresa, de seus componentes e, ainda, dos órgãos de fiscalização. É, por assim dizer, a conciliação desses interesses com os órgãos de fiscalização e regulação. Essa conciliação se dá pela aplicação prática de quatro princípios norteadores: a transparência, a equidade, a prestação de contas e a responsabilidade corporativa.

Complementarmente à governança corporativa, há os programas de compliance, que é a prática em forma de programa de se agir conforme as normas da legislação vigente. É uma importante ferramenta complementar à governança corporativa e possui alguns pilares, tais como o tone from the top, os códigos de conduta e as políticas, o risk assessment, o monitoramento contínuo dos riscos e a auditoria, as investigações internas e o canal de denúncia, etc.

A grande questão é que tanto a governança corporativa quanto compliance só terão efetividade se houver algo a mais que as normas internas, as leis e a fiscalização. Estamos falando da cultura de conformidade. De nada adianta haver uma nova lei, uma consultoria contratada para fazer a adequação a ela, a compra de ferramentas e outros itens caso a empresa não esteja aculturada na importância dos temas, seguindo o exemplo da alta direção.

Aculturar qualquer instituição não é fácil, devendo-se partir do exemplo do topo – tone from the top – para que os demais níveis sejam alcançados. E, ainda que o topo da gestão dê o exemplo, precisa, ainda, fornecer recursos pessoais e materiais para que as atividades de aculturamento sejam efetivadas.

Muitos podem pensar que a adequação às leis é algo formal (só depende de concretizar as exigências das leis), simples e que pode ser feito por uma pessoa ou um departamento. Nada pode ser mais errado que este tipo de pensamento. Toda e qualquer empresa somente terá sucesso nas suas adequações caso promova uma série de atividades encadeadas e contínuas para que a conformidade seja atingida.

Atividades básicas para a conformidade passam pela disseminação da cultura de proteção de dados. Proteger dados pessoais não é apenas garantir a segurança das informações, que tem como foco a confidencialidade, autenticidade, disponibilidade e integridade das informações. A proteção dos dados pessoais visa garantir a privacidade dos titulares.

Tudo isso só é possível por meio de atividades de disseminação da importância da proteção dos dados, que decorre do tone from the top, embora não possa e não deva se limitar a ele. Adicionalmente, atividades que envolvam a todos, seja em momentos de onboarding de novos colaboradores bem como de reciclagem dos que lá já estão são fundamentais.

Definitivamente, para promover a cultura da proteção de dados em qualquer empresa é preciso entender que se trata de um jogo coletivo, e sem prazo para encerrar. Ou se faz algo constante e permanente, ou o resultado jamais será efetivo.