Um dos grandes desafios do setor financeiro é manter o compromisso, previsto em lei, de prevenir e combater o crime de lavagem de dinheiro. Para tanto, é preciso conhecer seus clientes, ter uma base atualizada de dados cadastrais, monitorar transações, analisar operações e, em caso de suspeita de atividades ilícitas, comunicar a Unidade de Informação Financeira (UIF). Contudo, exatamente por lidar com um grande fluxo de informações, é preciso que as empresas fiquem atentas às normas da Lei Geral de Proteção de Dados (LGPD). A LGPD foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020. Ou seja, daqui a menos de um ano. O objetivo é regulamentar o tratamento de dados pessoais, com regras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, tanto para empresas privadas como públicas. Por dentro da lei Renato Opice Blum, advogado especializado em direito digital e proteção de dados, diz que teremos maior segurança no armazenamento de dados, além de garantias e regras para coleta e respectivo tratamento dessas informações: “Os dados serão mais qualificados e a sociedade, os titulares dos dados que somos nós, pessoas físicas, teremos mais consciência no momento do consentimento. Isso gera maior credibilidade e qualificação das informações”. Entretanto, o advogado explica que prevenção de fraudes tem uma disposição específica na LGPD, possibilitando a utilização de dados com essa finalidade: “Vai continuar acontecendo com o legítimo interesse na atividade financeira”. Contudo, ressalta que o controle de compliance será mais amplo, mais detalhado e com várias regras diretamente ligadas ao tratamento, armazenamento e utilização de todos os tipos de dados envolvendo a LGPD. Primeiros passos Apesar de o prazo para as empresas se adequarem às novas regras já ter passado da metade, ele diz que uma pesquisa recente feita pela Serasa Experian mostra que somente 15% das empresas estão prontas para essas mudanças. Renato fala que o primeiro passo para quem ainda não começou a se preocupar é a conscientização: “Lembrando que na impossibilidade de conformidade ou adequação, a LGPD prevê punições importantes de até 2% do faturamento ou R$ 50 milhões, o que for menor. Sem prejuízo também de eventuais multas decorrentes de outras leis aplicadas por outros órgãos. Dessa forma, provavelmente, teremos o Brasil como exemplo de país mais regulado do mundo em função dessas circunstâncias”. A fiscalização do cumprimento da LGPD ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que também irá editar normas e procedimentos sobre a proteção de dados pessoais. A ANPD terá natureza transitória e poderá ser transformada em autarquia vinculada à Presidência da República após dois anos, a critério do governo. Adaptação Sofia Chang, co-fundadora e pesquisadora do DTIBR, explica que da mesma forma que as instituições financeiras tiveram de criar programas de compliance para se adaptar às legislações de combate a fraudes e demais crimes, elas terão de tomar medidas para se adequarem à LGPD. Ou seja, uma nova política de classificação de dados deve ser pensada e estruturada. “As empresas terão de mapear os dados que utilizam e buscar bases legais para os tratamentos que realizam, eliminando os excessos. Além de desenvolver ferramentas e procedimentos para que os titulares dos dados consigam exercer seus direitos, como de acesso, correção e deleção dos dados, respeitando todos os princípios e fundamentos elencados na lei”, diz Sofia. Novo cargo Rômulo Caldas, também co-fundador e pesquisador do DTIBR, fala que a própria LGPD prevê a indicação de um encarregado pela tratamento de dados pessoais nas empresas. “Em redes como o LinkedIn, já é possível conferir profissionais em cargos de Data Privacy Officer, em referência direta à lei da União Europeia (GDPR), que criou o cargo do profissional dedicado ao tratamento de dados, de forma similar à lei brasileira”. Entretanto, Rômulo avisa que ainda não há requisitos definidos em lei para profissionais deste tipo: “Na prática do mercado, comumente são pessoas que possuem algum tipo de experiência jurídica ou com tecnologia. Ou, ainda, alguma combinação de ambas. A expertise dessas pessoas tende a ser comprovada por certificações de cunho nacional ou internacional de agências especializadas em formar profissionais aptos ao trabalho no campo da privacidade. Entretanto, especula-se que a ANPD ainda venha a definir eventuais parâmetros de qualificação deste profissional”. Transparência desde o início Rômulo diz que a adequação das empresas à LGPD também pode impactar no planejamento do desenvolvimento de produtos e serviços, demandando atenção de profissionais com conhecimento específico sobre privacidade. “Quando se pensa que as atuais soluções, sejam produtos ou serviços, são potencializadas pelo alcance da web, o exercício destes direitos pode criar custos impeditivos para as empresas se não forem pensados com antecedência e incorporados às soluções desde o começo dos projetos. É a noção por trás do princípio privacy by design ou, em outras palavras, levar as questões da privacidade em conta desde o momento da ideação do produto ou serviço”, explica o pesquisador. A hora é agora Quanto mais empresas deixarem o processo de adequação para depois, maiores serão os riscos envolvidos: “Primeiro, porque pode envolver alterações estruturais na produção e venda de produtos e serviços, mas também porque, a depender das operações atuais de uma empresa, todo o processo de adequação poderá levar um tempo considerável até sua conclusão”, fala Rômulo. Sofia lembra que no escopo da regulação da LGPD, o primeiro passo para compreender o processo de adequação é entender quais dados são recolhidos e quais são seus usos. A pesquisadora avisa que ter em mãos este mapeamento é essencial: “Não só será a base para o planejamento de adequação à LGPD, como também estará diretamente ligado ao relatório de impacto à proteção de dados pessoais, que deve descrever grande parte dos processos de tratamento de dados realizados pelas empresas e que, sobretudo, deverá ser apresentado à ANPD quando solicitado”.