Privacy & Cyber Risks: a jornada para se tornar compliant

Com a aproximação da entrada em vigor da nova regulamentação de proteção de dados pessoais na União Europeia, a General Data Protection Regulation (GDPR), o #PeckAdvogados promoveu em São Paulo o evento “Privacy & Cyber Risks”, encontro de atualização e troca de conhecimento para analisar o impacto dessas novas regras nos negócios. Além da sócia-fundadora do escritório especializado em Direito Digital, Dra. Patricia Peck Pinheiro, foram convidados para integrar o debate o especialista internacional Dr. Davide Parrilli, advogado do escritório belga time.lex, Luciano Albertini, líder de Governance, Risk & Compliance da EY, João Paulo Fontes, GRC Business Development Senior Specialist da SAP, e Rodrigo Carril, Chief Compliance Officer da Softline Brasil.

Na abertura do evento, mediado pelo Dr. Márcio Mello Chaves, advogado especialista em Direito Digital e sócio do Patricia Peck Pinheiro Advogados, a Dra. Patricia Peck falou sobre os dados serem a riqueza da Sociedade Digital e como esse novo modelo econômico interfere nos negócios que passam a depender de maior transparência, regulamentação e controles para a verificação do cumprimento das regras de tratameto das informações.

“Caso a empresa não esteja compliant, ela vai arcar não somente com o prejuízo financeiro, a partir da aplicação de multas, mas também com o abalo reputacional, judicial e administrativo, já que haverá barreiras comerciais que podem afetar as transações. É uma nova realidade onde a governança é estabelecida por contratos”, destaca a Dra. Patricia. “O cumprimento ou não da GDRP vai ser fator de escolha de parceiros e fornecedores que estiverem de acordo com os padrões estabelecidos em níveis locais e internacionais de proteção de dados.”

A advogada afirma que a maioria dos países está adequando as leis internas às novas regras da UE para evitar fechar as portas a um mercado de 500 milhões de consumidores com alto poder de compra. Mas lembra que o Brasil ainda está distante desse cenário. “Ainda não somos considerados uma nação com nível adequado de proteção de dados e isso é regra de saída de negócios. Ou seja, as empresas aqui instaladas cumprem os requisitos, mas o prório país não”, critica. “A adaptação de processos e documentos leva tempo, envolve várias áreas e equipes, e exige compreensão da alta direção dos impactos deste novo paradigma regulatório”.

Na sequência, o Dr. Davide Parrilli trouxe sua expertise jurídica na Europa para detalhar se a GDPR é um risco ou uma oportunidade para o mercado. O advogado explicou quando se aplica e por que a GDPR é importante para as corporações brasileiras. “A regulamentação tem que entrar na política de compliance de todas as empresas com atividades internacionais, mesmo não tendo uma sucursal ou filial na Europa. Além disso, os titulares podem querer exercer os seus direitos (acesso aos dados, retificação e apagamento) mesmo se o responsável pelo tratamento for uma empresa fora da UE”, descreve.

Ele também apontou aspectos práticos da nova regulamentação, dando exemplos no setor de saúde, hotelaria, financeiro, nas empresas de TI, de transporte aéreo e telecomunicações. “A área da aplicação da GDPR é muito ampla: empresas nacionais que não possuem filiais e sucursais na UE terão que ser GDPR compliant para poder receber dados pessoais da Europa. É uma exigência dos exportadores de dados para fazer negócios, daí a importância do monitoramento legal e da avaliação GDPR”, afirmou.

Após um breve intervalo, os especialistas se reuniram para uma rodada de debate e perguntas dos mais de cem profissionais que estiverem presentes no evento. João Paulo Fontes, da SAP, lembrou como a aplicação da GDPR deve ser algo sustentável e constante. “É um componente de governança bastante importante que vai agregar novos controles. É uma verdadeira jornada, algo contínuo de aprimoramento na questão da segurança e proteção de dados.”

Luciano Albertini corroborou a fala do colega, destacando a necessidade de evolução no nível de maturidade nas diversas camadas que tangem a proteção de dados e a estratégia de privacidade das corporações. “É preciso analisar como é feita a gestão da violação e o planejamento desses processos internos na companhia, se estão em discussão, em implementação ou se já foram implementados. Ou seja, é um primeiro passo para criar um mapa de conhecimento do nível de efetividade dessas questões mediante as soluções tecnológicas aplicadas, já que cada companhia tem suas características e particularidades.”

Para finalizar o encontro, a Dra. Patricia Peck provocou o especialista internacional Dr. Davide Parrilli sobre possíveis rumores de adiamento na GDPR, já que muitas organizações declararam estar despreparadas. “Vai entrar em vigor a partir do dia 25 de maio. Os tribunais locais já estão pensando nos termos da nova regulamentação. As medidas serão aplicadas e as empresas precisam estar compliant com as regras”, concluiu Parrilli.