Fonte: Canal Energia

Crise da covid-19 adiará a entrada em vigor da LGPD, empresas e até o governo ganharam mais tempo para atender as exigências que colocam o Brasil em sintonia com a lei europeia.

Nos últimos cerca de 40 dias os leitores do Portal CanalEnergia – e a população como um todo – têm lido, ouvido e falado basicamente em novo coronavírus, covid-19, isolamento, distanciamento social, lockdown, entre outros termos relacionados ao momento atual, que é, sem dúvida, uma das mais graves crises dessa geração. Disso não podemos discordar, afinal o tema requer atenção e medidas para mitigar os efeitos da pandemia tanto na saúde quanto na economia. Contudo, é preciso falar de outra questão que, em breve, fará parte do dia a dia do setor elétrico ao passo que a digitalização e descentralização cresce. Atende pelo nome de Lei Geral de Proteção de Dados, ou LGPD, publicada em 14 de agosto sob o no 13.709 e alterada pela lei 13.853 de 8 de julho de 2019, mas que tudo indica será postergada.

As ações a serem tomadas para proteger dados são muito mais simples que aquelas necessárias para conter o novo coronavírus, mas se não aplicadas podem ter suas consequências na vida das pessoas, afinal, os dados são considerados o ouro do século 21. As informações podem direcionar recursos e já valem dinheiro para as empresas que podem oferecer produtos e serviços direcionados ao seu público alvo com mais assertividade.

Mas e o que tem a ver essa legislação com o setor elétrico? Bom, com o avanço das novas tecnologias que estão ao alcance dos consumidores, mais dados trafegando na rede elétrica com o advento do smart grid, internet das coisas, toda a nova parafernália eletrônica que está para chegar e o protagonismo crescente dos consumidores quando comparado com o passado, a resposta é tudo a ver.

Em outra esfera o cardápio de motivos para a adoção da lei passa pela a adequação do país às exigências da OCDE para ser aceito como membro do grupo e a necessidade das empresas de origem europeia para o trânsito de dados entre o Brasil e aquela região, uma vez que a equivalente da LGPD por lá, que é a GDPR, é rigorosa quanto ao uso dos dados. Ao se adequar o Brasil junta-se a outros mais de 100 países que já possuem uma norma sobre o assunto, inclusive, na América do Sul, com destaque para a Argentina.

A advogada Marcela de Oliveira, do escritório Duarte Garcia, lembra que esse é um movimento internacional e que no Brasil acabou ganhando mais força desde 2016, quando a legislação europeia foi aprovada. Mas lembra que o tema já tem sido debatido há mais tempo. Ela classifica que essa não foi uma legislação casuística, ou seja, tomada a partir de um fato específico. Contudo, admite que ganhou força depois da GDPR.

“A discussão é antiga remonta a 2011 com a discussão do marco civil da internet”, relatou ela. “Havia dois projetos de lei no Congresso Nacional, um de 2012 e outro de 2013, então em 2014 juntou-se os dois que formou a LGPD. Contudo, o Brasil não correu atrás e como essa é uma tendência internacional com empresas preocupadas em ter regras mais claras, houve maior pressão para a tramitação do tema”, destacou ela que atuou como assessora parlamentar do relator da lei, Orlando Silva (PCdoB-SP).

O advogado Luís Eduardo Menezes Serra Netto, sócio do Duarte Garcia, acrescenta que existiram casos em que a legislação foi criada “no calor da emoção” de alguns fatos como a que tratou de uso abusivo e criminoso de imagens como no caso da atriz Carolina Dieckmann, mas que a LGPD não se enquadra nessa classificação. Ele destacou que a lei teve um andamento ordinário no Congresso Nacional, dentro dos trâmites técnicos. E ressalta que a lei vale para todos os dados. Em determinados casos do setor elétrico, sobre os dados que remontam a mais de 100 anos de atuação, inclusive, uma vez que há distribuidoras centenárias no país.

Esther Jerussalmy, sócia da área de Inovação e Tecnologia do L.O. Baptista Advogados, destaca que as empresas devem adaptar suas práticas à nova regulação. Nesse sentido estão ações de controle e novos processos internos. Ela comenta que deve existir um ‘efeito cascata’ no mercado, pois essas empresas estão obrigadas a buscar fornecedores adequados que assumam os mesmos compromissos com a segurança de seus dados.

Ela explica que muitas organizações possuem um volume elevado de dados e atuam no exterior. Por isso é importante olhar mais atentamente para a legislação internacional, pois gera impacto no Brasil. Além disso, reforça o fato de que o país vem pleiteando o ingresso na OCDE. “Um dos requisitos para ingressar nesse grupo de países é justamente ter uma política consistente quanto à segurança dos dados. Por isso houve interesse político em retomar a discussão”, afirma. “Parafins de comparação, a Argentina já tem essa legislação em vigor, esse é um dos motivos pelos quais o Brasil foi preterido para ter acesso à OCDE no passado recente”, lembra.

Além disso, destaca por sua vez a especialista em energia do L.O. Baptista, Rebecca Maduro, no setor elétrico o banco de dados é gigantesco. Se considerarmos apenas as distribuidoras são cerca de 90 milhões de unidades consumidoras. São dados de consumo, dados pessoais, endereço, entre outros que podem ser relacionados entre si que as companhias coletam para prestar serviço de fornecimento de energia. Agora, ceder esses dados para outra atividade não é legitimo, inclusive, a Aneel já tem uma regulação, a Resolução 581 de 2012, para regular e estabelecer as chamadas atividades acessórias permitidas para o setor.

Tatiana Campello, do escritório Demarest, avalia que a nossa lei se espelha muito na legislação europeia. É completa e detalhada e segue a tendência mundial apesar da adoção tardia. “A LGPD cria a consciência de que o dado é pessoal, valioso e me pertence. Não posso ter um terceiro utilizando para outros fins”, elogia.

Em linhas gerais, a análise da advogada do Demarest aponta que as empresas perceberam a importância da lei. Além da questão legal há uma econômica que traz uma expectativa comercial. Se não estiverem adequadas, perdem. As companhias devem entender a lei e se preparar para esse novo ambiente de privacidade. O caminho passa, obviamente, pela adequação às regras e a criação de ambiente interno de proteção dos dados, bem como, o posicionamento quanto ao seu portfólio de serviços e produtos.

Olhando justamente para esse horizonte, a subsidiária local da portuguesa EDP, aponta que a experiência vivida em seu país sede, sob a GDPR tem auxiliado na organização e adequação à LGPD. De acordo com o diretor de Auditoria Interna e Compliance, João Paulo Mateus, a legislação, tanto lá quanto cá, impõe obrigações para tratar e armazenar dados. E no caso da Europa obriga que esses países tenham regras em todos os países com os quais a empresa troque informações.

Se o país com quem a EDP de Portugal trata não tem legislação específica há dificuldades. E por isso, conta o executivo, para nós não fazia sentido fazer menos que o realizado na ‘casa mãe’. “Acho que o Brasil reagiu bem e entendeu que dentro desse tema é importante a adoção de regras (...) com a LGPD o país coloca-se na primeira divisão da proteção de dados em termos globais”, avalia o executivo.

O caminho

Mateus conta que uma das coisas que diferenciou a empresa no processo de adequação é a similaridade de projetos que foi necessário implantar. Ele imagina que outras companhias europeias que atuam localmente tenham passado pelo mesmo caminho. Relata que a similaridade é vista em loso a e princípios, claro que com ajustes às particularidades do Brasil. “Sem dúvida nosso projeto inspirou-se no realizado na Europa”, define. “Obviamente observamos em que pontos Portugal teve que sofrer e isso serviu de experiência. Portanto, não saímos de uma base zero”, acrescenta.

A lei obrigou as empresas a revisitar as suas políticas de segurança e processos, que saíram fortalecidos. Como consequência, continua, o uxo de informações acabou sendo totalmente mapeado de forma metodológica, desde sua entrada, o armazenamento, tratamento e até seu descarte, uma visão importante dada a necessidade de proteger essas informações, classificadas como uma coisa bastante sensível dado a sua importância para as pessoas.

Com as medidas, a EDP classifica que hoje possui para o futuro uma vantagem competitiva ante outros players. Ainda mais que a tendência é de que o setor elétrico continue seu caminho em direção a proporcionar mais negócios no campo não regulado com o avanço das tecnologias e maior liberalização do mercado.

Mas para alcançar esse resultado ele descreve que houve muito trabalho – que ainda está em andamento – e foi dividido por etapas. Em suas palavras, com pontos óbvios e outros menos óbvios. No geral, envolveu as áreas de Tecnologia da Informação, Compliance e Jurídico. Esses três, elenca Mateus, foram os pilares e andaram de braços dados no processo que não tem um fim e sim sua continuidade, depois de um esforço operacional mais elevado para iniciar.

Em outro segmento, mas, mesmo assim, com um pé no Brasil e outro na Europa está a Engie. A gerente de Ética no Departamento Jurídico e de Ética da holding no país, Ana Elisa Mellone, destaca que a empresa está profundamente comprometida com a proteção de dados pessoais e a privacidade pessoal. Tanto assim é assim que estão estabelecidos no Código de Ética da companhia, uma política específica adotada para o tema proteção de dados e segurança da informação.

Em sua análise, o impacto da LGPD sobre a Engie é, naturalmente, menor quando se compara com empresas do setor varejista e outras, cujo maior foco de atuação inclui contratos e relações com pessoas físicas como as distribuidoras, conforme citado mais acima.

Mesmo assim, a companhia iniciou a preparação para a nova legislação. A forma encontrada foi a contratação de uma consultoria para se adequar à LGPD. Nesse caminho, relata a executiva, já foram feitos o Data Mapping e o Data Discovery, que consistem basicamente no mapeamento dos uxos de dados pessoais e seu ciclo de vida dentro das atividades de cada empresa parte da Unidade de Negócios do Brasil. A partir disso, controles de segurança, revisão e criação de novos procedimentos e políticas, bem como alterações contratuais, são algumas das ações identificadas para estar em conformidade com a LGPD.

ANPD atrasada

Mesmo com mais de um ano e meio de aprovação e a previsibilidade para entrar em vigência, uma etapa importante não andou no Brasil. Apesar de prevista, a Autoridade Nacional de Proteção de Dados não foi constituída.

Anteriormente pensada como uma agência reguladora do setor e agora idealizada não como autarquia, mas como órgão vinculado à Presidência da República que delibera diretrizes e regras, a ANPD continua sem corpo e sem deliberar sobre os temas de segurança de dados.

Marcela de Oliveira, do Duarte Garcia, explica que a ANPD é interdisciplinar dotada de corpo técnico e pode tratar de temas das diversas áreas sob a ótica da proteção de dados. O trabalho deve ocorrer em paralelo, por exemplo, à Aneel na edição de normativos para o setor.

Agora, essa demora no estabelecimento da ANPD traz insegurança, pois não há um conjunto mínimo de resoluções ou regras antes do início da vigência da lei. Em decorrência da pandemia essa questão acabou sendo mais acentuada, uma vez que as ações do governo, naturalmente, têm sido direcionadas à mitigação de seus efeitos.

Então, avalia Esther Jerussalmy, do L.O. Baptista, ca mais difícil esse tema entrar na lista de prioridades. Inclusive, sugere, é nesse momento que o uso de dados das pessoas está ganhando contornos mais expressivos. Cita a ampliação do trabalho remoto, mais lives e até alguns governos utilizando geolocalização de celulares para monitorar a movimentação de pessoas, fazendo com que esse tema ganhe importância.

No geral, os especialistas ouvidos disseram que essa demora em definir a ANPD traz preocupações sim, justamente pelo escopo de atuação da autoridade, um agente importante nesse processo da LGPD e traz uma sinalização que é ruim ao mercado. Contudo, o governo ganhou mais tempo para essa medida ao ver o avanço da postergação de leis por conta da pandemia.

Empresas também ganharam mais um tempo para agir. Tatiana Campello, do escritório Demarest, destaca que o país tem realidades bem distintas e que não está totalmente preparado, mesma situação que ocorreu na Europa com as organizações atendendo as regras estabelecidas com o passar dos meses.

A previsão inicial era de que a nova legislação, aprovada em 2018, entrasse em vigor em meados de agosto. Contudo, em função da covid-19 (sim, a crise influenciou nisso também) a vigência da lei deverá ficar para 2021. Foi aprovado pelo Senado o PL 1179/2020, de autoria de Antonio Anastasia (PSD/MG), que posterga não apenas esta, mas ações da mesma natureza em outras diversas áreas por conta do momento. Até o fechamento da reportagem, a matéria estava na Câmara dos Deputados e depois, se não houver alterações, segue para a sanção presidencial.