Em entrevista à revista do Ibape-MG, Alexandre Atheniense fala sobre a entrada em vigor da LGPD, da importância de uma governança digital e de uma mudança cultural no empresariado nacional


Advogado com 33 anos de experiência, Alexandre Atheniense está à frente do escritório que dedica tempo integral ao Direito Digital. A empresa, que leva seu nome, tem atuação em Belo Horizonte, São Paulo e Brasília. A equipe reúne 21 profissionais altamente qualificados. Juntos, eles já adequaram empresas de 14 ramos de atividades diferentes à Lei Geral de Proteção de Dados (LGPD) e à Regulamentação Geral de Proteção de Dados (GDPR).

As consultorias somam mais de dez mil horas de atividades. Autor de 15 publicações sobre as leis de proteção de dados pessoais e 40 obras sobre Direito Digital, Atheniense explica nesta entrevista que o Brasil está atrasado em relação à proteção de dados. Perito judicial na área de TI e Propriedade Intelectual, o advogado diz que governança digital corporativa é uma questão extraterritorial, e requer uma mudança cultural. “Os brasileiros costumam ser mais reativos do que preventivos. Precisam se ater à proteção de dados como uma oportunidade e um diferencial competitivo. Trata-se de uma jornada sem linha de chegada. As empresas precisam se adequar, para gerar relação de confiança com os titulares de dados pessoais e não apenas por conformidade”, alerta Atheniense, especializado em Internet Law no Berkman Klein Center na Harvard Law School.

A Lei Geral de Proteção de Dados, Lei no 13.709, está em vigor desde 18 de setembro de 2020, com exceção apenas de suas sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados Pessoais. Qual sua visão sobre esse tema tão relevante e atual?

É preciso ter um olhar holístico sobre este assunto. O tema central não é proteção de dados pessoais, e sim governança digital corporativa. Ou seja, o dono do negócio, e a diretoria, tem de participar das decisões de assuntos que antes não despertaram muito interesse. Ou então, eu presumo, não eram vistas como relevantes porque não sujeitavam os administradores a sanções pesadas. Mas agora acontece. A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Mas, desde agosto de 2021, as empresas que não cumprirem o tratamento de dados podem ser multadas. Então, é preciso transformar o que antes eram boas práticas em obrigações legais.

O senhor e seu time realizaram mais de dez mil horas de atividades em consultorias sobre governança digital corporativa. Quais as principais recomendações às empresas?

A governança digital corporativa tem quatro pilares básicos. Um deles é a proteção de dados pessoais. O segundo seria a Segurança cibernética, que é a proteção do dado corporativo, que vai além da proteção do dado pessoal. O terceiro seria a questão da reputação digital, cyberataques impulsionados por fake news, discurso de ódio, ofensas e ameaças, que podem surgir a qualquer momento. E, por último, o pilar do compliance. Muitas empresas hoje exigem padrão mais rigoroso de conformidade legal. E vão continuar exigindo de uma forma ainda mais minuciosa. São prestações de contas quanto à estrutura de segurança da informação, sobre os meios pelo qual a empresa trata os dados pessoais. Vejamos. Vamos supor que uma empresa contrata regularmente um perito. E se esta empresa não tem prestação de contas do perito, de que ele segue rigorosamente as orientações da empresa, como fazer descarte de dados pessoais, não utilize dados pessoais para outra finalidade ou não disponha de meios de segurança da informação adequados, esse prestador de serviço pode deixar a empresa em risco. Este é só um exemplo.

Em seus artigos, o senhor aponta que ainda existe bastante confusão em relação ao que é necessário para empresas se adequarem à nova lei. Há uma percepção falha de que a governança corporativa e a proteção de dados pessoais se resolvem apenas no aspecto tecnológico e de TI. Mas isso é apenas um passo do processo, correto?

Lembro que o assunto é mais abrangente do que a LGPD. Tratamos aqui de conformidade legal quanto ao tratamento de dados pessoais. E essa questão é extraterritorial. Se um escritório de perícias oferta serviços ou trata dados pessoais de cidadãos da União Europeia, precisa não apenas respeitar a lei brasileira, mas também daquele bloco. Essa é uma pauta global. Até agora, 121 países têm legislação sobre tratamento de dados. E o Brasil chegou muito atrasado nisso.

Alguns especialistas avaliam a necessidade de uma mudança cultural. A proteção de dados não é mais uma burocracia. É sim um investimento, não apenas uma conformidade. Porque o tratamento adequado de dados está relacionado à integridade, à reputação das empresas. O senhor concorda?

Os empresários, de modo geral, não perceberam ainda que o mercado vai demandar, cada vez mais, os profissionais que gerem boa fé e relação de confiança quanto ao tratamento de dados pessoais. A mesma coisa ocorreu nos anos 1990, quando teve a entrada do Código de Defesa do Consumidor. E o mercado foi seletivo àqueles que tiveram bom trato nesta relação comercial. Então, essa situação vai se repetir agora. Eu costumo usar uma figura de linguagem conhecida: fazer do limão uma limonada. Não enxergar isso como um custo, mas ver como um diferencial competitivo. Vender uma imagem positiva de que é uma missão do profissional, do escritório de perícias, tratar o dado pessoal em conformidade com a lei deve ser encarado como um diferencial. Como uma vantagem de mercado. Olha, está previsto na lei e outros ainda não se sensibilizaram.

O senhor lembrou há pouco que mais do que preparar para este desafio, também é preciso vê-lo como uma oportunidade. Há sanções pesadas para não conformidade. Mas o impacto negativo na imagem pública da organização pode ser muito mais oneroso que qualquer multa administrativa, certo?

Essa é uma questão importante. Porque as pessoas ficam só assustadas com a multa administrativa. De fato, ela pode chegar até 50 milhões de reais por infração. Mas esquecem que, muitas vezes, uma imagem que foi abalada por ampla divulgação de um acidente que envolveu o nome da empresa pode sair muito mais caro! E pode ter, inclusive, uma repercussão global. Lembro que existem os danos diretos e indiretos. Os diretos: pode sofrer uma multa administrativa, sofrer uma ação judicial por parte do titular de um dado que se sentiu lesado, ou ainda haver cláusula rescisória de contratos. E pode haver também, e a pior de todas para mim, a crise reputacional. Sai caro reconstruir uma imagem.

Vamos aproveitar seu conhecimento para informar o público que acompanha a Revista do IBAPE-MG. Todas as empresas devem adotar medidas imediatas de implementação de planos de governança de dados pessoais. A regra se aplica, portanto, para empresas de engenharia e de avaliação e perícia, correto?

O que define se uma empresa, de qualquer ramo de atividade, é alvo da LGPD é o fato dela tratar dados pessoais para fins econômicos. Então, isso está previsto na lei e enquadra, evidentemente, todas as empresas de avaliações e perícias. E, por esse motivo, não há dúvidas que qualquer escritório desta área tem que se adequar à lei.

E como o senhor avalia o desempenho das empresas brasileiras diante da necessidade dessa conformidade?

Já se passaram alguns meses e a grande maioria das empresas não saiu da estaca zero, infelizmente. A realidade é essa. Busco justificativas para isso. Mas entendo que é uma questão cultural mesmo. O brasileiro tem um perfil muito mais reativo do que preventivo. É uma pena, porque a lei menciona, por diversas vezes, que a empresa tem que demonstrar que adotou medidas protetivas para tratamento de dados pessoais. Não existe uma lista dessas medidas. É uma série de ações orquestradas que comprovam isso para um órgão fiscalizador. E se formos avaliar, não existe em boa parte das empresas medida protetiva alguma. Parece que o mercado fica esperando acontecer o pior. Não enxergam por essa questão da vantagem competitiva e esperam ver como é que faz depois. E é uma característica do brasileiro que, a meu ver, é potencialmente arriscada diante de uma situação com sanções tão pesadas.

Mesmo após a vigência das sanções aplicáveis pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) pelo descumprimento da lei, a maioria das empresas ainda não se sensibilizou para suprir a lacuna de nomear o encarregado de proteção de dados pessoais – DPO (Data Protection Officer). Por que este gestor é tão importante?

O Data Protection Officer (DPO) é uma figura importante. Está definido em lei, qualquer empresa tem que nomear um DPO. Então, é obrigação legal. As companhias precisam ter as atividades de proteção de dados formalizadas. E já houve casos em que empresas foram fiscalizadas, não tinham a nomeação deste encarregado e sofreram sanções pesadas. É importante lembrar que este é um profissional que tem que ter um perfil com capacitação jurídica e regulatória, tem que conhecer todas as atividades de tratamento de dados pessoais da empresa. Ele é o piloto de um painel de controle, onde monitora qualquer mudança operacional com dados pessoais que possa gerar risco. É um braço estendido da diretoria, para poder ser interlocutor em relação a assuntos de privacidade. O DPO também faz a interface com os órgãos fiscalizadores. E é importante estar atento a armadilhas. Se fizer uma busca no LinkedIn você vai encontrar a oferta de milhares de DPOs. Há muitos aventureiros, sem qualquer experiência de mercado.

Em artigos recentes, o senhor destaca que o DPO deve realizar constantes verificações e o gerenciamento de processos internos e externos relativos ao tratamento de dados pessoais. Também é dever deste profissional prestar auxílio à diretoria e/ou ao setor de governança no processo de tomada de decisões?

A governança digital corporativa é um aprendizado contínuo. Os gestores não podem resumir a questão. Pensar a adequação à lei de proteção de dados pessoais, e o DPO é um dos itens, como um produto de prateleira. Eu costumo dizer que essa é uma jornada sem linha de chegada. Ou seja, exige uma ação estratégica da empresa. Ter verificações constantes: uma vez identificadas as falhas operacionais, elas deverão ser corrigidas. E certamente virão outras mudanças operacionais, e elas precisarão ser monitoradas pelo DPO, para novas análises de risco a fim de verificar se tudo está em conformidade. E esse é um processo contínuo.

Acesse a entrevista na Revista Técnica do Ibape-MG