O que é a LGPD (Lei Geral de Proteção de Dados)? Por que a LGPD é importante se, no mundo guiado pela tecnologia, grande parte das pessoas cede os seus dados sem muitas preocupações?

Seria a Lei Geral de Proteção de Dados um “Hype”?

Como surgiu a proteção de dados? O que é a GDPR?

Existe alguma conexão da segunda guerra mundial com a LGPD?

Como um advogado pode ganhar dinheiro com a LGPD? Como vender? Como precificar um serviço como esse?

Quais os riscos e precauções que o advogado deve tomar e como se especializar na área?

No episódio # do Laywer to Lawyer, o podcast da Freelaw, Gabriel Magalhães entrevista Viviane Nóbrega Maldonado.

Viviane Nóbrega Maldonado

É uma das pessoas mais especializadas em LGPD no Brasil e no mundo.

Ela foi magistrada de Direito no Tribunal de Justiça de São Paulo por 25 anos e, depois disso, ela se tornou empreendedora.

Hoje, atua como professora e advogada especialista em LGPD.

Graduada pela Universidade de São Paulo, tem Pós-Graduação pela Escola Pauli além disso, ela é fundadora da Nextlaw Academy, startup em que trabalha atualmente. 

Ela também é host de um podcast de Magistratura, fez LLM na Samford University, MBA na FGV, possui certificação pela Maastricht University.

Ela é professora convidada da FGV do Rio e coordenadora do curso de DPO.

Hoje ela mora em Lisboa, e é cofundadora do Instituto de Inovação Legal em Português.

Gabriel Magalhães

É um dos fundadores da Freelaw e o Host do Lawyer to Lawyer. É bacharel em Direito pela Faculdade Milton Campos.  

Possui formação em Coaching Executivo Organizacional, pelo Instituto Opus e Leading Group.    

Formação em Mediação de Conflitos, pelo IMAB, e em Mediação Organizacional, pela Trigon e pelo Instituto Ecossocial. Certificações em Inbound Marketing, Inside Sales e Product Management pelo Hubspot, RD University, Universidade Rock Content, Gama Academy e Tera, respectivamente.      

Escute o episódio em seu player de áudio favorito e leia o resumo do episódio abaixo que conta com todas as referências citadas durante a gravação.  

Gabriel: Oi, Viviane! É um prazer ter você aqui com a gente, estou muito animado com essa temporada. Estamos começando em alto nível.

Tenho certeza que os advogados vão aprender muito com você sobre um tema tão relevante que é a LGPD.

Viviane: Muito obrigada, Gabriel. 

É uma alegria, eu sempre brinco falando que, para falar deste tema, pode me convidar porque eu adoro.

É um tema apaixonante e, ao contrário do que as pessoas muitas vezes imaginam, não é um tema da moda.

Então é mais legal ainda quando você entende toda a história e vê que essa questão toda da Lei de Proteção de Dados veio para ficar mesmo. 

É um prazer mesmo estar conversando com você para o podcast.

Gabriel: Obrigado, Viviane. E você já mencionou a questão do termo “da moda”, né, agora, depois do “Privacidade Hackeada” no Netflix, muitas pessoas começaram a falar de LGPD, também por causa do Cambridge Analytica, como começou tudo isso e por que não é moda?

A História da LGPD

Viviane: Então, eu vou contar um pouquinho da história sem, logicamente, ser uma coisa chata.

Você sabe que eu estou, neste momento, aqui em Lisboa e foi justamente na Europa que a questão toda relativa à privacidade foi sendo construída ao longo dos anos.

Então não é uma novidade, não é um hype, é não uma coisa que vem agora só depois desse universo mais “internet”, vamos dizer assim.

Na verdade, as primeiras questões relativas à privacidade dentro de um contexto legal vêm de um ambiente pós 2ª Guerra, do finzinho dos anos 40.

As pessoas perguntam por quê, e é fácil você ver, eu sou meio cinéfila e vi o Privacidade Hackeada e quem, como eu, já assistiu vários filmes de época da 2ª Guerra sabe que na época houve muitas intromissões, intrusões, revistas, apreensões domiciliares e, logicamente, muitas dessas ações estatais eram justificadas, mas outras nem tanto.

E foi em razão de abusos que começou a ser construído esse conceito da privacidade das pessoas, muito por conta da própria vida privada.

E, como isso acabaria se materializando dentro do contexto legal: a princípio por intermédio de cartas. 

Houve uma série de cartas relativas primeiro e depois houve até conveções, uma em especial a Seic 8, aberta para qualquer país do mundo, definindo a privacidade, em um primeiro contexto, como um direito fundamental do homem, então tudo veio dali. 

E só para chegarmos, rapidamente, ao nosso contexto atual, o que acabou acontecendo, em razão da evolução do mundo do ponto de vista da utilização de dados, primeiro dos dados físicos arquivados em bases físicas.

E depois, logicamente, com a própria internet foi que começou a ser construída uma derivação daquela primeira premissa do direito à privacidade, um outro direito específico, como fundamental do homem, mas agora proteção dos dados, então isso já vem há muito tempo.

E, por exemplo, a nossa Lei, Gabriel, que foi aprovada em agosto do ano passado, para a gente é tudo muito novo, mas uma grande parte dos conceitos que estão na nossa Lei, e que vieram da Europa, já existem pelo menos desde o ano de 1995, ano em que houve uma Diretiva, a Diretiva 9546, já definindo um monte de regras, conceitos e princípios relativos a como fazer o tratamento dos dados pessoais. 

E aqui na Europa, a Diretiva funciona assim: o sistema da união europeia funciona de uma maneira supranacional, então há também o Executivo, Legislativo e Judiciário, a Diretiva é um ato legislativo, ela vale para todos os países, mas tem uma função como de guide lines, e os países ficam obrigados a editar suas leis nacionais, e aconteceu isso com relação à legislação de legislação de proteção de dados. 

Cada país, desde 1995, tinha sua própria legislação, mas isso acabou gerando um problema, com o aumento exponencial de dados porque muitas empresas ficavam submetidas a jurisdições diferentes de países aqui da europa e as leis não eram, às vezes, muito homogêneas e então o Parlamento acabou optando pela edição de um novo ato legislativo, o chamado Regulamento, que tem um enforcement direito para todos os países que compõem a União Europeia, que no momento são 28, temos a questão do Brexit. 

Então esse regulamento é o tal do GDPR, que no final demorou um tempo de maturação, foram quatro anos de discussão e ele acabou entrando em vigor em 2016, mas acabou sendo postergado para 25 de maio de 2018. 

E foi a partir dessa percepção que o mundo começou a prestar atenção nas questões da proteção de dados. E tem uma razão para isso, é que, na realidade, sempre existiu, porém os europeus encontraram duas estratégias para garantir que seus dados pudessem estar seguros em qualquer lugar do mundo. 

Uma delas é uma repetição  da Diretiva, que era que a transferência internacional a partir da UE só poderia se dar para países com um bom nível de segurança em termos de matéria de proteção de dados e a segunda estratégia que foi adotada e é muito interessante.

Principalmente para quem atua no mundo web, com os produtos digitais propriamente ditos, aqueles digitais “raiz” mesmo, as próprias startups, foi que, você pode ser uma empresa em qualquer lugar do mundo a partir do momento que você oferta bens ou serviços por um aplicativo, por uma plataforma ou de qualquer outra maneira, por mail marketing, a quem esteja na União Europeia, esses países ficam obrigados a cumprir o regulamento europeu. 

E foi esse aspecto que fez com que as empresas acabassem despertando, e o Brasil foi um desses países, assim como outro, não foi uma prerrogativa do Brasil, os países pensaram o seguinte: a partir de agora, se a gente quiser manter o mercado europeu como um potencial ambiente para negócios, então nós, enquanto países ou empresas precisamos atender às regras da UE. 

E esse assunto é muito interessante, Gabriel, porque o fato é que muita gente discorda disso porque não entende a soberania e as questões jurisdicionais e eu costumo dizer que realmente, no campo teórico você poderia discutir uma série de questões.

No entanto, os europeus saíram na frente, eles tinham essa prerrogativa de um peso histórico e o fato é que, independente de que uma empresa individualmente considerada não seja obrigada a atender o regulamento europeu, se quiser, deverá jogar a regra do jogo.

Então é mais ou menos essa a história da proteção de dados e que culminou na necessidade de nós termos uma lei. 

E a nossa lei veio mesmo como “toque de caixa” porque nós não tínhamos tradição alguma como uma estrutura legal e formal e nossa lei acabou sendo aprovada três meses depois, então você vê, hoje, a dificuldade de o Brasil entender toda essa lógica.

LGPD x Ceder dados

Gabriel: Legal, eu não conhecia essa história.  Para mim, era algo bem novo, para ser sincero. 

O que eu acredito é que, a grande mudança seja que, com a internet, os dados tenham se tornado “o novo petróleo do mundo” e, a partir disso, naturalmente surgiu um foco muito maior nessa questão e também envolvendo a democracia que foi a questão do Trump, do Brexit. 

Agora, Viviane, uma questão que eu sempre tenho dúvidas sobre a LGPD, e até escutei outros advogados e pessoas fora do Direito falando, é: 

Existe um movimento forte para garantir a proteção dos dados, mas grande parte das pessoas está cedendo os dados sem se importar com isso. Como você vê essa questão?

Viviane: Olha, eu vejo da seguinte maneira: eu me dou como exemplo. 

As pessoas às vezes falam assim para mim: você respira proteção de dados, mas seu Instagram é aberto. Era fechado na época em que eu estava no Tribunal, mas depois que eu saí, acabei abrindo. 

E sim, ok, mas o ponto é o seguinte: as pessoas continuam tendo a prerrogativa de fazer escolhas. 

Então, na verdade, o ponto é antecedente.

E isso tem muita pertinência mesmo na utilização de redes sociais, e, quando uma pessoa disponibiliza informações ou qualquer tipo de coisa, ela já sabe que aquilo vai gerar até uma pegada digital em buscadores e tudo o mais, ela sabe disso.

O problema é que ela tem que saber quais são os riscos que aquilo envolve e, particularmente, quando você vai fornecer, fora da rede social, seus dados para um controlador específico, por exemplo, você quer baixar um ebook e te pedem um monte de informações, se você achar interessante, você fornecerá seus dados. 

No entanto, o controlador tem algumas regras para poder coletar esses seus dados e você, por outro lado, tem que saber exatamente para quais finalidades está entregando seus dados. 

Então este é o ponto. Porque, realmente, muitas pessoas não se importam, minimamente, mas muitas pessoas se importam. 

A regra acaba sendo para atender as pessoas que fazem questão de saber, em outras palavras, porque a lógica é a privacidade, é a proteção de dados. 

Depois, se você quiser, num sentido contrário a isso, colocar sua vida na vitrine, aí será uma opção sua. 

Isso faz parte até de um outro princípio que está na nossa Lei, inclusive, de forma expressa que é o Princípio da autodeterminação informativa, ou seja, fica assegurado ao titular decidir e definir o quanto quer disponibilizar a respeito de seus dados. 

E,e então, você casa isso com a questão da transparÊncia, porque eu estou dando o exemplo de uma rede social, mas, para muitas coisas, eu vou sempre considerar que darei apenas o mínimos necessário, com relação aos meus dados, para aquela finalidade específica, seja uma compra online ou o que quer que seja. 

Então, hoje, os controladores, e essa é a grande regra, não podem ter um número, uma quantidade ou uma qualidade de dados que não seja necessária para aquela finalidade específica. 

O fato é que as empresas trabalhavam muito tempo com compra e venda de base de dados e esse é o grande “abacaxi” na verdade, e , hoje, não é mais possível. 

Então, mesmo aqui na europa, onde acontecia a mesma coisa, as empresas precisaram fazer no momento em que o GDPR se tornou aplicável, elas precisaram fazer todo o levantamento daqueles dados que tinham e houve a necessidade de verificar qual era a base legal que autorizava aqueles dados.

E, no caso, quando se tratava de consentimento, um caso muito claro de mail marketing, elas acabaram reenviando, para todos os titulares que tinham, e-mail dizendo que, para que continuasse tendo o dado em sua base, seria necessário o expresso consentimento do titular, assim, se esse consentimento fosse dado, ela continuaria com ele, se não, seria deletado, basicamente foi isso. 

Realmente, houve uma redução gigantesca da base de dados porque esse mercado de compra e venda de base de dados não existe mais sob a lógica da lei, pode continuar existindo no Brasil porque a Lei ainda não está em vigor, mas, na prática, não tem como mesmo. 

Eu sei até que há próprios órgãos que já estão monitorando isso para entender quem são esses grandes players que trabalham com compra e venda de base de dados. 

Então esse é um aspecto e é muito interessante porque, por exemplo, no universo de startups, eu dou aula para também na parte da proteção de dados para startups, e é muito comum as pessoas perguntarem se isso não interfere diretamente no valuation e sim, eu sei que uma pessoa pode inflar a base dela artificialmente para conseguir um investimento ou alguma coisa assim. 

E esse “inflar artificialmente” ou, realmente, ter esses dados que não tenham sido coletados da maneira correta infringe a Lei, então, se interfere ou não na valuation, cabe a cada um fazer o que acha que tem que fazer, mas que não está na conformidade da Lei, é fato. 

Então esse é o primeiro aspecto, não há mais como você inflar sua base, seja para fechar negócios, seja para conseguir captação para investimento, então isso não tem como mesmo. 

Agora, do ponto de vista, que você comentou, de prejudicar as pequenas empresas e a necessidade de uma adequação, a ideia da Lei é muito parecida com o GDPR e a jurisprudência toda que existe, em parte, aplica-se mesmo ao Brasil, a idai da Lei não é unir e nem exigir dos pequenos uma coisa fora do alcance e as regras, é claro que muito ainda vai ficar por conta da autoridade definir.

Mas essa questão do investimento é sempre proporcional ao porte e ao modelo do negócio e, se for assim, você vai exigir que o mercadinho da esquina ou a padaria faça um negócio grande e não é esse o sentido da Lei. 

Agora, que  a grande maioria das empresas, inclusive as pequenas, trata com um grande número de dados é verdade. 

Aliás, hipoteticamente, uma startup com apenas um cara que abriu uma MEI, não tem nem sócio, o que, apesar de não ser muito comum, existe, e tem milhares de dados, ele será uma pessoa que, com certeza, terá que prestar atenção. 

Não é que a autoridade irá bater na porta dele, no entanto, se ele tiver um “abacaxi”, como um vazamento, por exemplo, que é algo de que ninguém está livre, se ele tiver um problema, então a autoridade vai questioná-lo sobre os milhares de dado que ele possuía, então ele terá dor de cabeças e a autoridade não vai olhar tanto para o resultado, porque vazamentos acontecem, ela vai olhar para o que você fez em termos de minimizar os riscos e, depois do incidente, para o que você fez a fim de mitigar os danos. 

O resultado é imponderável porque, hoje, você traqueia tudo pelo Google mesmo, até as empresas que já sofreram sanção pelo GDPR, empresas gigantes, altamente tecnológicas já foram vítimas de incidentes e o problema não é esse, mas o que elas não fizeram e deveriam ter feito.

Como aumentar seus honorários com a LGPD

Gabriel: É um tema bem complicado, muito complexo, muitas variáveis. 

E eu queria entrar no tema que o nosso ouvinte mais gosta: como o advogado vai ganhar dinheiro com esse negócio.

Quais são as oportunidades e as formas de atuação, é por consultoria e para qual empresa ele pode buscar esse tipo de serviço e como ele é vendido e onde ele pode buscar se qualificar, porque, por ser um tema novo, muitas pessoas não sabem isso.

Viviane: Acho que o primeiro ponto é que a pessoa tem de fazer uma autoavaliação sincera, se quer entrar nessa área.

É uma área promissora, com certeza,  mas o que eu posso te falar, Gabriel, e é triste isso, a gente está em pouco mais da metade do caminho até entrar em vigor a Lei, faltam dez meses, mais ou menos.

E o fato é que a gente ainda tem um tempinho pela frente, mas tem muita gente despreparada oferecendo ja serviços, e é triste ver isso. 

Então eu digo o seguinte: é uma área promissora, no entanto para a pessoa entrar, será uma jornada de preparação que não será simples ou fácil. 

Essa semana mesmo, acho que faz uns três dias, eu fiz uma postagem o Linkedin falando sobre os erros em estudar a LGPD e, em um dos tópicos, eu até critico a pessoa que faz um curso e já se intitula especialista. 

A nossa LGPD tem um conteúdo muito singelo pois é curta, muita coisa ainda ficou para ser definida pela nossa autoridade.

No entanto, a resposta pra tudo que vai acontecer aqui não está na nossa Lei, mas lá em 1995, então você tem que conhecer muito a proteção de dados europeia mesmo, desde a época da Diretiva.

Eu já estudo privacidade desde 2011, minha primeira especialização, na Escola da Magistratura, teve como tema a privacidade mesmo, já falava sobre a exclusão de informações de pessoas notórias, isso em 2001/2002. 

Mas, conforme depois foi aprovado o regulamento europeu, e eu tenho um carinho especial porque fui a primeira pessoa que trouxe o GDPR para o Brasil, eu organizei o primeiro evento sobre GDPR no Brasil, em 2007, ainda antes de estar em eficácia plena, foi na Câmara portuguesa, em São Paulo. 

Depois, em seguida, eu apresentei um projeto para a Escola do Renato Opice Blum, coordenei esse projeto que foi o primeiro curso sobre GDPR no Brasil, e nós fizemos  mais de 500 alunos na época.

Hoje já não existe mais naquele modelo primário que era só GDPR e, depois, eu lancei, também, o primeiro livro sobre GDPR no Brasil. 

Então, na minha maneira de ver, quem quer estudar, deve começar lá de trás, porque, querer entender primeiro a Lei Geral de Proteção de Dados e depois querer olhar para trás é estar fazendo o caminho de trás para frente, que não vai dar certo.

Eu recomendo para quem quer estudar, é claro que dá tempo, o mercado é ótimo, mas o pessoal precisa tomar cuidado porque eu dou muito curso em company, agora para grandes empresas, em vários estados, viajo quando estou no Brasil praticamente toda semana, e já tenho notícias de que as pessoas estão “dando nomes aos bois”, dizendo que contrataram o escritório X que cobrou “rios” de dinheiro e que vão ter que refazer tudo. 

Então, para  a gente é uma constatação terrível, ver que as pessoas estão tentando aproveitar a Lei como uma maneira de cobrar caro, porque os projetos são caros mesmo e, respondendo objetivamente a sua pergunta, o que as pessoas estão fazendo é vender projeto de implementação, porque a Lei tem uma série de regras que precisa ser transposta para a realidade da empresa. 

E é o que estou te falando, não todas, mas eu sei já de alguns casos de, principalmente de escritórios de advocacia que venderam sempre usando o terrorismo do “valor de multa” e fizeram um projeto pavoroso. 

Então, acho que vale muito a pena, mas não é uma coisa simples, Gabriel, as pessoas acham que porque surgiu um tema novo vai ganhar dinheiro, mas não é bem assim. 

Para você ter uma ideia, aqui em Portugal mesmo, acabou acontecendo que, no começo deste ano, um dos maiores escritórios de advocacia daqui, com sede em Lisboa, acabou sendo alvo de um ataque informático e, pelo que ficou relativamente apurado, o escritório não tinha aplicado as regras de GDPR dentro do próprio escritório. 

Outro dia, faz muito pouco tempo, uma das big 4, a PwC, na Grécia, as big 4 cobram a peso de ouro o projeto de implementação, a PwC grega acabou sendo multada pela autoridade grega porque ela própria errou ao fazer a atribuição da base legal à classe dos dados do colaboradores da própria PwC, pegou muito mal aqui na Europa. 

Então é isso que eu digo, se os grandes estão quebrando a cara em termos de reputação e a reputação não é uma coisa que você consegue levantar rapidamente, quanto mais uma pessoa pequena em que o nome dela se confunde com o escritório. 

Então, se o João da Silva é muito pequeno e vende um projeto de implementação, quem vai ficar mal na fita é o José da Silva, e não o nome da Pessoa Jurídica (PJ).

Existem muitas opções para trabalhar, como encarregado da proteção de dados, muitas opções mesmo, mas não é simples como as pessoas estão achando. 

Eu tenho também um podcast, o The Privacy Cast, vou fazer o merchan aqui que é gratuito, eu entrevistei o MArcel Leonard, que é um cara ótimo, brilhante, e ele comentou de uma pessoa que tinha comentado no Linkedin que tinha 10 anos de experiência no GDPR, sendo que o GDPR só passou a existir formalmente em 2016, então você vê que “o mundo cor-de-rosa” do Linkedin tem produzido algumas situações ruins. 

Eu sei que pode parecer um pouco pessimista o que eu estou falando, mas tem muita gente indo atrás e só os fortes sobreviverão. 

E quem são os fortes? Quem “manjar” muito, Gabriel. 

Então, se a pessoa realmente gosta disso, acho que deve ir atrás, existem muitos cursos bons, ela pode buscar certificações internacionais. 

As certificações são um tema que as pessoas me perguntam muito, existem certificações com reputações variadas, algumas demonstram que a pessoa tem um conhecimento maior, que as provas são mais difíceis e existem certificações que são mais fáceis. 

Então é “a gosto” da disponibilidade de cada um.

Gabriel: Acho bem interessante você trazer esse choque de realidade porque é um tema novo e complexo e acaba que se o advogado está prestando um serviço e não está tão preparado para aquilo, ele pode queimar toda sua reputação. 

Agora, uma questão em que eu penso muito, não sei se você concorda, é que, às vezes, um advogado que está nos escutando aqui, pode não ser ainda especialista em LGPD, mas estar se qualificando, caso tenha interesse, mas, se ele não quiser seguir essa jornada que é árdua, pode buscar parceiros que são especialistas na área para estarem atuando junto e, naturalmente, conseguindo atuar em mais áreas.

Pode ser um caminho também bastante interessante, buscar empresas que, provavelmente, vão ter que se adaptar à legislação, principalmente a partir do próximo ano e começar a oferecer consultorias para elas, buscando pessoas qualificadas com as melhores certificações para isso.

Viviane: Sim, porque, veja bem, o escritório de advocacia já tem os seus clientes para outras áreas variadas, então você já tem seus prospects, pessoas para quem você já pode vender, então é claro que é uma ótima oportunidade, esse meu choque de realidade que pode não ser o que as pessoas gostariam de ouvir é em razão do fato de que isso muitas vezes mais prejudica do que ajuda porque não é uma coisa simples. 

Então concordo totalmente com você, se o advogado tem potencialmente um cliente que precisa, porque, na verdade, todas as empresas vão precisar fazer alguma adequação, é claro que o grau de complexidade depende de uma série de fatores, do tipo de dado que a pessoa trabalha, da quantidade, do core do negócio, então se ele está vendo que tem, potencialmente, um cliente para vender um produto, nunca diria para dispensar esse cliente, todo mundo tem que aproveitar as possibilidades que já estão dentro de casa. 

Aí o que você está falando faz todo o sentido, então ele indica alguém e se ele está ainda no meio do caminho, na minha opinião, vale mais a pena se associar a alguém que já faça até que esteja efetivamente pronto. 

Porque, sinceramente, não existe um curso mágico ou uma certificação mágica em que a pessoa, com um mês, vai se tornar um especialista. 

A gente tem nomes muito bons no mercado, eu, basicamente, e estou falando porque não faço projeto de implementação e optei por não fazer, obviamente já recebi convites para ser até DPO, mas estou mesmo só focada em docência e treinamentos de companies.

DPO: Data Protection Officer

Gabriel: E, Viviane, só uma questão, o que é DPO para o ouvinte que não sabe 

Viviane: Então, DPO é uma figura nova, também na Europa, que é o Data Protection Officer que foi criada para o GDPR, não existia na década de 1990, na Diretiva.

Então essa figura se iniciou na prática mesmo, um pouco antes de 2018, quando o GDPR passou a valer, e é uma figura que pode ser uma Pessoa Física ou uma Pessoa Jurídica terceirizada que, aqui na Europa.

Basicamente, é a pessoa responsável pelo projeto de implementação, então aqui, em três circunstâncias específicas, as empresas ficam obrigadas a nomear um DPO, não são todas elas, existem algumas circunstâncias específicas que estão na Lei mesmo que obrigam a nomeação do DPO. 

Então o que as empresas aqui fizeram, elas buscaram pessoas que já poderiam ser incorporadas à empresa, outras migraram profissionais que já pertenciam ao quadro, mas que conseguiram complementar a formação e outras acabaram contratando serviços externos de DPO, na base de consultoria. 

E na nossa Lei, houve a repetição dessa figura, que aqui no Brasil chama-se “Encarregado pelo Tratamento de Dados Pessoais”, não foi usada a terminologia em Inglês, que é a língua mãe do GDPR, e esse encarregado tem uma função mais ou menos parecida, um pouco mais light no Brasil, mas, na prática, vai ser também a figura responsável pelo cumprimento da LGPD. 

E a autoridade ainda vai informar e regrar isso, definir quais são especificamente as empresas que precisarão nomear ou não o DPO, então tem um dispositivo que dispõe a dispensa da nomeação. 

Em hoje, muitas pessoas querem ser DPOs, então você vai verificar que existem vários cursos, eu mesma coordeno cursos sobre isso, e vários são bem completos, fica  a critério de cada um, é um caminho. 

Mas as pessoas devem saber que, mesmo quando elas fazem um curso, elas podem ter uma chancela, mas tem muito estudo por trás disso, não caiam no “canto da sereia” achando que vão fazer uma coisinha de dois, três dias e saber tudo, porque, por exemplo, no curso de DPO que eu coordeno numa instituição de Ensino Superior, são vários professores, inclusive com toda a parte técnica de segurança da informação, TI. 

Então o advogado não é só a interpretação da Lei, ele deve conhecer toda a questão, por exemplo, de análise de vulnerabilidades, mitigação, gestão, é uma série de aspectos, para você fazer o plano de implementação você tem que seguir todo o road map, tem uma lógica. 

E, hoje, o DPO é um profissional bem buscado, não se exige que seja um advogado, mas pode ser um advogado, mas tem que reunir competências das áreas jurídica e da segurança da informação e, se souber gestão, melhor ainda, esse é o perfil bom. 

Então você vê como é difícil para nós, da área jurídica, conseguirmos concentrar todas essas competências.

Gabriel: Então, em resumo, o DPO (Data Protection Officer) ou, na Lei brasileira, o Encarregado pelo Tratamento de Dados Pessoais é uma nova oportunidade. 

Não é fácil porque você tem que saber, tanto das questões jurídicas quanto das questões de segurança da informação e, além disso, ter conhecimento sobre gestão, pode ser um caminho.

É um ótimo caminho, esse é um segmento que, na realidade, é muito bem pago no mercado, tanto na Europa quanto no Brasil, eu tenho amigos no Brasil que já foram nomeados DPOs de grandes empresas e todas essas pessoas já tinham um histórico, pelo menos os mais próximos meus eram pessoas que, de alguma maneira, já estavam ligados a isso. 

Agora, tem tempo, dá para fazer, mas tem que fazer “direitinho”, tem que “ralar” e ter muita disciplina, estudar, conhecer, ler, comprar livros, fazer curso e, aí, poder concorrer e, eventualmente, conseguir uma colocação. 

E para quem não quer se colocar dentro de empresa, fica sempre essa opção que é prestar o serviço de DPO. 

Então, por exemplo, vou falar em números um pouco aleatórios: suponha que uma empresa vá contratar um DPO e pagará R$30.000,00 de salário para ele. Muitas empresas estão fazendo isso, o salário foi um número hipotético porque varia muito a depender da região, do país e tudo mais. 

Mas imagine uma empresa que não tem condição de pagar para aquele posto de trabalho. 

Se ela precisa do DPO por conta de suas atividades, poderá contratar um terceirizado, e quem é ele? É uma PJ que, hipoteticamente, poderá prestar e atender à Lei e, por exemplo, ela vai ter vários clientes e para aquela empresa específica, ao invés de pagar 30, ela paga três, por exemplo. 

É lógico que não vai haver uma dedicação integral, haverá um cronograma, irá na empresa apenas duas vezes por semana, então depende muito. 

Aqui na Europa, muitas pessoas que já tinham uma boa expertise e conseguiram montar, até com banco de profissionais, consultorias específicas para prestar esse tipo de serviço e é muito interessante, eu acho um bom produto no mercado, desde que você consiga estruturar como uma empresa de consultoria mesmo e que você possa, eventualmente, trabalhar com um grupo de DPOs. 

E a pessoas ainda não estão fazendo no Brasil e acho que é um negócio legal, fica aí uma dica interessante que, potencialmente, pode ser feita.

Gabriel: Então se eu te compreendi bem, existe uma oportunidade bacana para aqueles advogados que têm um perfil mais de fazer carreira de, eventualmente, tornar-se um DPO dentro das empresas e cuidar dessa área de dados ou, para os advogados que têm escritório de advocacia e preferem ter o próprio negócio, a oportunidade de ter um tipo de consultoria específica para empresas. 

E, no caso, para identificar empresas potenciais clientes, talvez o melhor indicador seja o tamanho dessa empresa e se ela tem uma base de dados grandes ou não, porque, quanto maior a base de dados, provavelmente maior será a necessidade dela para que o escritório preste serviços.

É isso mesmo, ou não?

É isso, mas, na verdade, ela não deve prezar pelos pequenos não, porque, na verdade, todas as empresas fazem tratamentos de dados, do ponto de vista da definição legal, mesmo a empresa muito pequena. 

Então se, por exemplo, o advogado tem no seu escritório um cliente pequeno, uma empresa pequena com somente dez colaboradores, um faturamento baixo, mas vamos supor que ele atenda aquele cliente em especial, este também será um cliente em potencial porque, no caso, o advogado não vai medir apenas a quantidade de dados que está sendo trabalhada pelo cliente, mas terá que saber o que é necessário para cada porte, porque, dependendo do tipo e da quantidade de dado, pode haver a necessidade de alguns procedimentos adicionais, então ele terá que fazer um ajuste do ponto de vista da implementação da lei, mas, na realidade, mesmo as empresas muito pequenas que já são clientes de escritórios, por exemplo, também pequenos, são potenciais clientes porque a Lei não distingue. 

Então mesmo as empresas pequenas têm de estar adequadas, então acho que a oportunidade se abre nesse aspecto, para quem já tem seu próprio escritório, como possibilidade de ofertar isso a quem já é cliente, e não importa muito o tamanho. 

O que a pessoa tem de ter é o conhecimento do que é necessário para cada perfil.

Venda de produto para pequenas empresas

Gabriel: E uma dúvida, você mencionou essa questão dos pequenos, para mim, é muito clara a forma de vender esse tipo de produto para uma empresa grande, a necessidade é clara, a empresa já sabe disso.

Mas, como você vende esse serviço para uma empresa pequena e como precifica? 

Viviane: O argumento da venda, cada um tem o seu, logicamente, mas eu costumo dizer que, por exemplo, muitas pessoas vendem para grandes empresas sempre potencialmente com a questão específica de valor de multa, esse tipo de coisa, e acho que pode até ser eficiente como um argumento meio drástico, dizer que se acontecer algo a empresa tomará uma multa de 50 milhões.

Na verdade, isso não vai corresponder à realidade porque esse valor é o teto máximo e, mesmo no GDPR, haverá um escalonamento muito claro, existem empresas grandes aqui que receberam penalidades com valores baixos mesmo, menos de 100 mil Euros.

Por exemplo, sendo que aqui pode chegar a 20 milhões de Euros. 

Então há um range, não é porque aconteceu uma coisinha que haverá multa alta, como estratégia de venda, a pessoa pode até usar, mas não corresponde 100% à realidade, esse é o primeiro aspecto. 

Eu, se fosse vender projeto de implementação, me preocuparia muito mais com outros aspectos. 

Acho que existe primeiro, o aspecto reputacional, no caso de você ter um incidente e isso acaba tendo um impacto muito grande justamente nas pequenas empresas, porque se elas sofrerem algum tipo de incidente e caírem em desgraça, de uma certa maneira isso irá representar, de alguma maneira, uma dificuldade muito grande até de sobrevivência daquela empresa.

Então acho que esse é um bom argumento e, bem ou mal, acho que o argumento mais adequado para a empresa pequena é que, com um valor relativamente baixo, ela poderá estar atendendo a Lei e, na eventualidade de um incidente baixo qualquer, poderá demonstrar à autoridade, porque é para isso que serve projeto de implementação em síntese, que ela cumrpriu todos os parâmetros da Lei e irá evitar uma pena mais gravosa, vamos dizer assim, e vai conseguir contornar e tocar seu negócio. 

Eu acho que o argumento é mesmo a questão de você fazer o que está na Lei por conta das consequências que poderão vir, mas não necessariamente as pecuniárias, que é o que muita gente acaba utilizando, embora esse argumento já esteja caindo em desuso, porque não está “colando” mais, não é porque aconteceu uma coisa que você vai tomar uma multa de 50 milhões de reais, é intuitivo que não é assim, então qualquer pessoa minimamente inteligente percebe, ao ler a Lei, que é até 50 milhões, então a autoridade não vai aplicar esse valor de multa para toda e qualquer coisa, ela olhará o porte da empresa, seu comportamento, o nível de danos que houve e tudo mais, estão lá na Lei os parâmetros. 

Lembrando que problemas específicos relativos a vazamento também vão autorizar que os titulares judicializa isso, porque a autoridade não vi tratar da questão do titular, mas só da penalidade que, potencialmente, poderá ser aplicada ao controlador ou ao operador, depende da operação. 

E fica aí o lado do titular que, fazendo uma comparação bem grosseira, é como se o seu nome fosse parar no SERASA, devidamente, ou seja, se alguém teve os dados vazados, com certeza entrará na Justiça. 

E api, abre-se uma nova oportunidade aos advogados, e já tem esse segmento, a gente brinca falando que, do mesmo jeito que existia o advogado “porta de cadeia”, agora vai existir o advogado “data center” que vai ficar monitorando onde estão acontecendo os vazamento para entrar com ações. Então tem essa outra vertente mais voltada para essa questão do contencioso.

Gabriel: Uma questão que eu fiquei pensando, Viviane, se eu estiver falando besteira, você me corta, por favor, é que, dentro dessa questão reputacional, você disse que muitas pessoas vendem na base do medo: cuidado com a multa de Lei.

Mas também que o advogado pode, eventualmente, tentar fazer uma venda com base na reputação que aquela empresa ganharia se ela estiver enquadrada na legislação, eu pensei que isso poderia ser tipo um ISO.

Não sei se existe algum selo identificando que a empresa respeita a LGPD e as empresas poderiam fazer ações de marketing divulgando isso para os clientes dela, favorecendo a reputação, os escritórios poderiam também falar sobre o ganho, mostrando que, além de a empresa não ter a multa, poderá ter sua reputação.

E, além disso, posso te auxiliar a fazer uma comunicação com seus clientes demonstrando que você está adequado às leis, etc. 

Isso funciona?

Viviane: Exatamente, é um diferencial, você tocou num ponto muito importante que pre utilizar a privacidade, essa é uma ótima alavanca, como diferencial e vantagem competitiva. 

Quem está fazendo isso agora, vou dar um exemplo que todos nós conhecemos, a Apple. A Apple soltou um vídeo no YouTube que acho que é de março mais ou menos, que se chama “Privacy Matters”, não correu muito no Brasil esse vídeo, mas qualquer um joga lá e consegue ver, é e menos de um minuto, como uma propaganda mesmo, para demonstrar que, hoje, na realidade, as empresas americanas, e os americanos já não gostam muito dessa questões relacionadas à privacidade, proteção de dados, mas o fato é que perceberam que não há como você remar como essa tsunami. 

Então resolveram pegar isso que, aparentemente, transformar isso em algo a meu favor. 

E, de fato, isso funciona muito bem porque, nesse ponto tenho que agradecer a Netflix por ter soltado um documentário, também há outros filmes interessantes, os titulares estão cada vez mais cientes de seus próprios direitos, as pessoas estão acordando. 

O próprio Facebook que acabou tomando uma multa elevada da FTC americana de 5 bilhões de dólares. Mas veja, tudo bem para eles, pagaram a multa, o Facebook é muito grande, mas você percebe que, hoje há uma fuga de clientes do Facebook, por razões variadas e, nos contextos europeu e americano, uma grande parte da fuga se deve ao mau comportamento do Facebook com relação à questão dos dados pessoais. 

Então, hoje, as plataformas e empresas que conseguem vender o discurso de que se importam com a privacidade estão olhando para o futuro. 

Então esse ponto que você falou é muito importante e, realmente, são empresas que estão utilizando algo que é bom para o ser humano olhando como um futuro mesmo. 

Faço até um paralelo, imagine o seguinte: antigamente, a gente que é mais velho lembra quando não era obrigatório o uso de cinto de segurança, todo mundo reclamava de usar o cinto e pensava que tinha de usá-lo para não ser multado. 

Hoje, se você tem de pegar estrada sem o cinto, é você quem não quer, ou seja, teve uma mudança mesmo na percepção das pessoa com relação a que aquilo que antes podia ser um incômodo, hoje você tem que os carros apitam se você não coloca o cinto. 

Então há toda uma lógica de mercado por trás disso e aqueles que conseguirem ir ofertando essa percepção de que a privacidade, de fato, é boa e que a empresa a respeitar, com certeza ela estará no ranking como melhor classificada, essa é, pelo menos, a minha visão. 

Gabriel: Eu concordo muito com o que você trouxe e quero compartilhar rapidinho um caso nosso da Freelaw.

A gente gosta muito de produzir conteúdo, artigo, podcast, video, etc, sem que a pessoa tenha que fazer qualquer tipo de cadastro porque, se a pessoa faz algum tipo de cadastro já será uma barreira de entrada maior e estaremos pegando dado dessa pessoa, às vezes ela não quer dar aquele dado para a gente e, recentemente, a gente fez uma lista de conteúdos e o nosso marketing era: você pode acessar, é gratuito, e você não precisa passar nenhum dado. 

E, nesse dia, o nosso tráfego no site cresceu 2.000% em um dia e a gente viu que muitas pessoas começaram a falar que gostaram muito porque não precisaram dar nenhum dado, relataram que todos os dias recebiam, por exemplo, e-book gratuito mas tinham que preencher dez formulários para ter acesso.

Então, às vezes, faz sentido você dar uma mescla, não significa que você não vai pedir o dado depois, a gente mesmo na Freelaw tem e-books que a gente pede dados, mas, às vezes, o simples fato de você fornecer questões sem pedir dados em troca, às vezes irá potencializar algumas ações e com a gente isso funcionou bastante.

Viviane: Olha, parabéns, acho que a lógica é bem essa mesma, você conseguir detectar que, na realidade, não tem muito você se contrapor, então vamos fazer da melhor forma para as pessoas. 

Então, parabéns, sensacional, muito bom mesmo.

As pessoas não estão ainda com esse grau de amadurecimento, eu faço parte de alguns grupos de WhatsApp com um pessoal que também está nessa área e vira e mexe tem alguém que conta que alguém está abrindo um curso de Proteção de Dados e Privacidade e pede um monte de dados sem observar a própria LGPD, então acaba pegando super mal, então muito interessante isso, muito bom.

Gabriel: E Viviane, a gente conversou agora sobre venda, sobre como fazer essa venda consultiva com clientes sobre essas questões do LGPD, mas e sobre a precificação, você tem alguma dica? 

Porque esse é um dos pontos que, tanto em LGPD quanto com qualquer outro segmento, muitos advogados nos perguntam: como precificar da melhor forma, você tem alguma dica.

Viviane: Acho que, me primeiro lugar, o que deve ser visto é o volume de trabalho mesmo, valores são muito complicados de dizer porque a gente vê de tudo por aí. 

Então, claro, as empresas de maior reputação cobram peso de ouro mesmo, mas são as consultoras que já estão no mercado há décadas, big 4 e tal, então se for para falar alguma coisa o Judiciário tem projetos rodando com consultorias que custam mais de um milhão, mas não é a realidade de um escritório pequeno porque você estará se comparando quantitativamente com empresas que têm uma estrutura mega. 

Eu acho que a maneira realista de você quantificar é saber que, para fazer um projeto de implementação você terá toda uma programação, terá o projeto seu de como fazer o projeto, as etapas, etc. 

Então você terá de verificar tudo que precisa ser feito, estimar o quanto de tempo e esforços você terá que dedicar para cada uma das etapas do projeto de implementação e, então, você estima quanto tempo ele vai durar, em média, para empresas de médio porte, um projeto de implementação dura de 9 meses a um ano, mais ou menos. 

Você tem que fazer sua precificação seguindo mais ou menos essa lógica, de quanto você terá de alocar de recursos pessoais, considerar se a empresa precisará comprar alguma ferramenta ou não, pois isso entrará no custo da empresa, em alguns casos é necessários contratar softwares ou não.

Então o mais importante é você fazer uma avaliação do que precisa entregar para aquela empresa, então você faz uma decomposição de cada uma dessas etapas do projeto e estimar quanto tempo ele vai durar e  combina o pagamento como achar melhor, ou 50% no início, ou que se tenha um pagamento mensal para diluir isso ao longo do projeto, esse tipo de coisa.

Considerações Finais

Gabriel: Legal, bacana, Viviane. 

Nós começamos a conversa e você trouxe um pouco do contexto histórico da Lei mostrando que, apesar de muitas pessoas acharem que tudo isso é algo muito novo, tudo volta desde antes da 2ª Guerra, você trouxe alguns exemplos que já mostravam a questão da prisão domiciliar e como isso está conectado com a LGPD.

E, para quem está buscando se especializar, talvez faça bastante sentido buscar esses dados das legislações anteriores à LGPD para entender tudo mais a fundo e a Viviane também deu um choque de realidade na gente.

Então, se você quer atuar com isso, saiba que é algo muito complexo e então exige muito estudo, assim como qualquer outra área do Direito, é preciso cuidado e, realmente, buscar as melhores referências e certificações e, no caso, as oportunidades existentes são várias, então, você, advogado que está nos escutando, pode, eventualmente, seguir carreira em empresas como DPO, que é o Data Protection Officer.

Ou prestar assessoria jurídica de uma forma consultiva para empresas e, quando você for buscar empresas, talvez faça sentido buscar as grandes, mas também não menosprezar os pequenos.

E, além disso, para aqueles advogados mais do contencioso, com certeza vão começar a surgir novas oportunidades dentro dessa área que faça te ficar atento. 

A Viviane ainda trouxe para gente dicas práticas de como vender esse tipo de serviço, então faz sentido sim falar da multa, mas cuidado, porque nem sempre ela é real e, talvez, faça sentido também falar sobre algo relacionado à reputação da empresa  e os ganhos que ela terá caso se adeque à legislação. 

Então pense nisso nesse momento da venda e, eventualmente, você pode enviar artigos para potenciais clientes ou, realmente, marcar um café para conversar sobre as mudanças da Lei, sempre fazendo de uma forma consultiva, a gente tem muito conteúdo gratuito sobre isso no blog da Freelaw, se você quiser entender mais sobre elas. E, sobre a precificação, a Viviane trouxe que sempre é difícil.

Então não há, infelizmente, como ter uma resposta certa, mas é importante mensurar bem o volume de trabalho que vai ser executado.

Se você não tem especialidade na área, antes de fechar qualquer contrato com cliente, talvez seja melhor você já buscar um parceiro, conversar com a Viviane, entrar em contato com a gente da Freelaw, eventualmente a gente entra em contato com alguém para estar atuando com você, mas antes de fechar com o cliente, mensure bem a quantidade de trabalho para que você não feche por um valor mais alto ou mais baixo do que deveria. 

É isso, foi um bom resumo?

Viviane: Maravilhoso! Eu até peço desculpas, às vezes, se tiver sido meio dura com relação ao que está acontecendo, mas, sabe, Gabriel.

Eu estou 100%  imersa nesse universo e acabo tendo contato com as pessoas por vários caminhos diferentes, seja pela docência em escolas, eu dou Educação Executiva em algumas universidades, seja pelos meus cursos, pelo Linkedin que, quem quiser também, me segue lá.

Eu posto muito material e estou sempre aberta para conversar com as pessoas, pelos livros, já publiquei alguns livros desde 2018, agora teremos o lançamento oficial do próximo livro mês que vem, e o que a gente percebe é exatamente isso.

Existem muitas pessoas que estão levando realmente a sério, que percebem a importância e tem outros que olham apenas como uma oportunidade de ganhar dinheiro de uma forma imediata e são essas pessoas que estão se prejudicando no final. 

Então acho que tem espaço para todo mundo, o Brasil é um país muito grande, a gente tem um potencial de projetos que as pessoas podem conseguir captar até dentro de seus relacionamentos próximos, de quem já é cliente, só é preciso, de fato, tomar cuidado porque ler a Lei e dizer que entendeu não é suficiente.

É esse o meu ponto, é preciso entender toda a lógica e que, desde a década, de 90 a UE vem soltando guide lines de todas as espécies, opinions, então tem muito material. 

As respostas não estão na LGPD, mas no que veio antes, então por isso é importante conhecer de uma maneira consistente, é essa minha visão, uma visão realista porque eu tive a felicidade de estar bebendo da fonte, eu fico alternando, um pouco em Portugal, um pouco no Brasil e, aqui em Portugal, eu tenho um estreitamento muito próximo desse universo e a gente sabe o que funcionou e o que não funcionou.

Eu posso te dizer que pessoas que acharam que iam ganhar muito dinheiro não foi essa a realidade e muitos acabaram se perdendo pelo caminho do ponto de vista reputacional. 

Então é preferível ir passo por passo, unindo-se a quem você conhece, porque, às vezes, é melhor você ter uma parte do bolo do que querer fazer tudo sozinho e não dar conta depois, grudem nas pessoas que conhecem e podem ajudar nos próprios projetos para ofertar uma coisa que seja sustentável e permanente. 

É esse meu recado. 

Gabriel: Essa questão que você traz é sempre muito importante, a questão da ética e da transparência com o cliente, isso vale para a LPGD, mas também para qualquer outra área, se você vende um projeto agora e se seu cliente não estiver satisfeito no final, você, na verdade, estará perdendo dinheiro e a sua reputação e isso vale para qualquer área. 

Quando a gente pensa em vender algo para alguém, a gente também deve pensar que é preciso que, no final, esse cliente nos ame e nos indique.

Viviane: É um choque de realidade, mas eu não estou contando nenhuma novidade, imagine que algum advogado faça um planejamento tributário para uma empresa sem saber nada de legislação tributária, ele provavelmente não ofertará a melhor coisa para o cliente. 

Então você primeiro tem que realmente conhece do assunto para depois ver qual o melhor quadro para seu cliente, porque assim, você estabelecendo essa relação ética, clara e aberta, você fará com que esse cliente te ame e continue sempre com você. Se você ofertar algo que trará prejuízo, com certeza será um adeus e não haverá o que se fazer. 

É isso aí, Gabriel.

Gabriel: Muito obrigado de novo, Viviane, agradeço também a vocês, colegas advogados, que estão nos escutando e acompanhando.

Viviane: Obrigada, Gabriel!