FONTE: CNN
As empresas não estão conseguindo se adequar às novas exigências relacionadas à Lei Geral de Proteção de Dados (LGPD), segundo pesquisa realizada pela RD Station, empresa de tecnologia e marketing digital.
Segundo o levantamento, 93% das quase mil empresas que participaram do estudo dizem conhecer ou pelo menos já ter ouvido falar da LGPD, mas apenas 15% se mostram prontas ou na reta final de preparação, mesmo a lei já prevendo sanções desde o dia 1º de agosto. As multas podem chegar a 2% da receita da empresa até o limite de R$ 50 milhões para companhias que não definirem protocolos claros para a proteção dos dados pessoais de consumidores e colaboradores.
Mais de dois terços das empresas ainda não implementaram nem mesmo a primeira etapa, que é a criação de políticas de proteção de dados, aquela que deve ser incluída nos sites das companhias para explicar como as informações dos usuários são capturadas e qual uso desses dados, entre outras questões básicas exigidas pela lei.
Outro problema que pode incidir em sanções administrativas e multas é a ausência dentro da empresa de um profissional chamado de Data Protection Officer (DPO), que tem entre uma de suas funções ser o ponto de contato entre a companhia e a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da lei. Toda empresa, independentemente do tamanho, deve nomear um profissional como essa função.
Eduardo Magrani, sócio de Privacidade, Tecnologia e Cibersegurança do escritório Demarest, explica que, além de conversar com a autoridade nacional, o DPO fica responsável por receber solicitações dos donos das informações coletadas pela empresa, respondendo pedidos de acesso aos dados pelos titulares e de eventuais retificações.
Magrani destaca que o DPO também terá o papel de falar sobre a governança de dados pessoais dentro da empresa ou órgão público e deve ter autonomia em relação aos gestores das áreas que armazenam, utilizam e tratam dados.
“Ele tem uma posição de independência, funcionando como ombudsman da empresa, com liberdade para falar qual deve ser o regime adequado de captação ou tratamento de dados, sem que tenha poder decisório sobre isso. Os relatórios produzidos pelo DPO devem ser levados ao nível máximo da empresa”, diz o advogado.
Dados pessoais
Outro dado apontado pela pesquisa da RD Station é que 22% das empresas não inseriu nenhuma medida de segurança referente às informações pessoais que armazena, sejam colaboradores, parceiros ou clientes. Magrani destaca que, por vezes, as empresas não tomam esse cuidado pela dificuldade que possuem de identificar o que são dados pessoais protegidos pela lei.
O conceito é bem amplo, explica o especialista. “Qualquer dado que venha a identificar uma pessoa diretamente ou que viabilize a identificação já entra no conceito de dados pessoais. Essa é uma preocupação que as empresas devem ter, porque, às vezes, lidam com informações que nem sabem que remetem a dados pessoais.”
Além de dados mais óbvios, como nome, endereço, documentos de identificação, também imagens capturadas por câmeras de segurança ou dados biométricos recolhidos em portarias e demais locais de acesso são abrangidos pela LGPD.
As informações biométricas entram também na classificação de dados sensíveis junto com dados relacionados à religiosidade e vida íntima e sexual. Se vazadas, essas informações podem trazer multas mais pesadas. “Além do tipo de dado vazado, o que pode impactar o tamanho da sanção é a postura da empresa, se ela foi negligente ou não”, afirma.
Adequação
Fernanda Nones, Data Protection Officer da RD Station, destaca os fatores que mais pesam contra a adequação das empresas, segundo o estudo. São ausência de capital para investir em novos processos, falta de profissionais qualificados e confusão sobre quais áreas precisam receber cuidados especiais.
Ela destaca que a escolha de um DPO para liderar o processo de adequação não exige a contratação de um profissional especializado. A condição é que essa pessoa detenha algumas qualidades multidisciplinares, como conhecimento da legislação, habilidade com tecnologia e capacidade de gerir projetos.
“Um DPO precisa ter uma visão do todo da organização, sendo apoiado por uma equipe ou não. Ele precisa conhecer todos os fluxos de dados pessoais dentro da empresa, por isso, um grande diferencial para o cargo é o grau de familiaridade com o negócio em si e com os processos internos”, explica.
De acordo com a LGPD, um DPO pode ser uma pessoa física ou jurídica, podendo ser tanto um funcionário da empresa quanto um agente externo. A lei não impede que o funcionário dedicado a essa tarefa atue em outras funções, nem exige que o agente externo seja exclusivo de uma empresa.
Segundo a pesquisa da RD Station, as grandes empresas têm se adequado mais rapidamente com a possibilidade de contratar um DPO e, em alguns casos, oferecer uma equipe de apoio. Cerca de 18% das grandes organizações afirmaram ter formado um grupo de trabalho com colaboradores de diferentes áreas, sendo que aproximadamente 15% das microempresas ainda não possuem nem mesmo colaboradores dedicados à tarefa.
Mais educação e menos punição
O que os especialistas apontam é que, por conta da dificuldade que algumas empresas enfrentam para se adequarem à LGPD, a Autoridade Nacional de Proteção de Dados tem feito um trabalho mais educativo do que punitivo até aqui.
Segundo Nones, existe ainda a possibilidade de, com o tempo, a autoridade flexibilizar algumas exigências para empresas de menor porte e orçamento. “A ANPD poderá, no futuro, estabelecer normas específicas e mais brandas para micro e pequenas empresas, como a dispensa de um DPO, a depender da natureza e o porte da entidade ou o volume de operações de tratamento de dados”, explica.
Apesar do olhar mais brando da autoridade neste momento, a ausência total de ações no sentido de proteger os dados pessoais e sensíveis dos consumidores e colaboradores pode indicar uma facilitação ou vazamento de dados e até mesmo mau uso das informações pela empresa, o que tende a comprometer a companhia diante da ANPD e outros órgãos fiscalizadores, como Secretaria Nacional do Consumidor (Senacon) e Ministério Público Federal.
Soluções a pronta entrega
Nones diz haver formas simples e pouco custosas de iniciar um processo de adequação. Além da nomeação de um DPO entre os funcionários da empresa, a realização de um mapeamento de dados para levantar os riscos é algo prático e eficiente. “A partir daí, será possível elaborar um plano de ação de acordo com a possibilidade financeira e operacional da empresa”, indica.
Ela completa dizendo que, para a implementação de um programa de privacidade eficaz, é imprescindível haver o apoio do time executivo. “É um erro bastante comum acreditar que a contratação de um DPO será suficiente para garantir a adequação às normas. Sem a cooperação da diretoria e suas respectivas áreas, não há como garantir a adequação à LGPD. Não adianta ter uma pessoa responsável se os líderes das áreas diretamente afetadas pela lei não alocam recursos humanos ou financeiros para realizar as mudanças necessárias”, conclui.