Num cenário em que a economia é cada vez mais digital, a Lei Geral de Proteção de Dados Pessoais (LGPD) fez aumentar a demanda pelos serviços dos escritórios de advocacia no Brasil. Nos últimos anos, as principais bancas do setor reforçaram e ampliaram as suas equipes, além de endereçar a questão tecnológica de forma multidisciplinar, envolvendo diferentes equipes.
Aprovada em 2018 e em vigor desde 2020, a legislação é considerada um marco, porque criou regras e princípios de transparência em relação ao uso e tratamento de dados nos setores público e privado. As empresas precisaram, entre outros pontos, desenvolver protocolos para evitar o vazamento de informações de clientes e funcionários, criar um departamento para cuidar exclusivamente do tema e nomear um encarregado de ser o responsável pelos dados da companhia, chamado de Data Protection Officer (DPO, ou chefe da proteção de dados).
MAIS SOBRE PROTEÇÃO DE DADOS
Os escritórios entraram em cena porque, para as companhias, se tornou fundamental cumprir a legislação em vigor. Hoje, qualquer incidente de vazamento de dados pode levar a uma multa milionária – o valor pode chegar a R$ 50 milhões. Portanto, ter um protocolo bem definido no caso de um incidente passou a ser fundamental. “Com a mudança para a economia digital, o dado do consumidor tem um valor muito grande para as empresas”, afirma Fabricio Cardim de Almeida, sócio do escritório Mello Torres Advogados.
A primeira onda de demanda de trabalho se deu com as companhias multinacionais, que já lidavam com leis de proteção de dados em seus países sedes e precisavam, então, adequar a legislação das suas afiliadas e controladas no Brasil. As grandes empresas nacionais vieram em seguida e marcaram um segundo movimento. “Contratamos muita gente, e essa área do escritório cresceu substancialmente num espaço de tempo bastante curto”, afirma Paulo Brancher, sócio do Mattos Filho. São cerca de 35 pessoas cuidando de proteção de dados.
Atualmente, o trabalho dos escritórios passou a ser mais de manutenção de protocolos e consultoria para lidar com as novas diretrizes que são publicadas frequentemente pela Autoridade Nacional de Proteção de Dados (ANPD), além das ações em curso na Justiça. E elas são crescentes. Um mapeamento realizado pelo JusBrasil apontou que o número de decisões relevantes envolvendo a LGPD saltou de 274 para 655 entre o ano passado e 2022.
“Há uma alteração do tipo de trabalho. Entre 2018 e 2020, a maior demanda era pela implementação da LGPD, porque estávamos auxiliando as empresas a fazer o programa de compliance, a cumprir todos os requisitos e orientações da lei”, diz Larissa Galimberti, sócia de tecnologia do Pinheiro Neto Advogados. O escritório tem cerca de 80 profissionais envolvidos diretamente ou indiretamente com o trabalho de tecnologia.
Trabalho preventivo para evitar ações
O levantamento do JusBrasil, realizado em parceria com o Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), analisou 1.789 documentos que tratavam da lei de proteção de dados de setembro de 2020 a setembro de 2022. A maior parte deles vinha do Tribunal de Justiça de São Paulo, com 110 decisões.
Em seguida, apareceram Bahia (11) e Rio Grande do Sul (10). “O que a gente tem procurado fazer com os clientes é o trabalho preventivo, o trabalho de treinamento e educação para estar o mais preparado possível se um incidente ocorrer”, afirma Tatiana Campello, sócia das áreas de propriedade intelectual, inovação e tecnologia e privacidade de dados e cibersegurança do Demarest.
Na rede Assaí Atacadista, o trabalho para se adequar à LGPD começou no segundo semestre de 2019. A empresa levou um ano apenas para fazer um mapeamento dos departamentos, dos fluxos internos, e das atividades que atuavam ou poderiam envolver com dados pessoais.
“É um trabalho que não para, porque vira e mexe estamos criando promoções, sistemas novos que implementamos, procedimentos, que podem vir ou não ter contato com dados pessoais. É preciso estar preocupado em criar esses procedimentos dentro da lei”, afirma Sadik Sarkis, diretor jurídico e compliance da companhia.
A empresa já estava totalmente ajustada à LGPD em agosto de 2020. O trabalho passou, então, a ser mais uma “lição de casa” com o desenvolvimento de políticas e procedimentos internos para garantir que a companhia tenha uma boa prática no tratamento de dados. “Nós nos adequar à lei, mas a expectativa é que muito provavelmente será preciso dar uma mexida, uma afinada”, afirma Sarkis.
Passo atrás
As pequenas empresas ainda estão um passo atrás e tiveram mais dificuldade para se adaptar à legislação. Elas aceleram a implantação mais recentemente, conforme a ANPD passou a emitir regulamentações que tratam da lei. A autoridade determinou, por exemplo, que nem todas as companhias menores precisam de um DPO.
“Não é um bicho de sete cabeças, mas precisa gastar um tempo para conversar com todo mundo da empresa, ver como se trata dados pessoais na companhia e preparar toda a documentação”, diz Tania Liberman, sócia da área de tecnologia, propriedade intelectual e proteção de dados do Cescon Barrieu Advogados. O escritório aumentou de 5 para 7 a quantidade de advogados que cuidam do tema.
Nas empresas que oferecem crédito digital, a discrepância entre grandes e pequenas companhias ficou evidente. Por ser um setor com intenso uso de dados sensíveis, as companhias menores tiveram de manter um DPO. “As fintechs menores têm mais desafios para implementar o programa proposto pela ANPD”, afirma Claudia Amira Fiaschitello, diretora executiva da Associação Brasileira de Crédito Digital (ABCD). “Elas têm uma estrutura menor, menores recursos humanos e financeiros.”
A associação tinha como pleito a liberação da necessidade de um encarregado de dados, mas ela não foi atendida pela autoridade. “Existem diversos documentos que precisam ser produzidos e que fazem parte da LGPD, processos que envolvem um esforço razoável e de muita dedicação”, afirma Fiaschitello. Ela diz que, apesar das dificuldades, as empresas do setor estão seguindo as normas em vigor da proteção de dados. “Há uma grande conscientização do tema e preocupação, independentemente do porte, de ela estarem em compliance com a LGPD.”