Mais de dois anos após a sanção da Lei Geral de Proteção de Dados (LGPD), empresas que ainda resistiam em se adequar às novas normas de privacidade correram para pedir ajuda a consultorias e escritórios de advocacia nos últimos dias.
Na quarta (26), o Senado derrubou trecho de uma medida provisória aprovado pela Câmara, que postergava a lei para 2021. Seria o terceiro adiamento em dois anos.
O texto precisa ser sancionado pelo presidente Jair Bolsonaro (sem partido) e a lei deve entrar em vigor em setembro -apesar da possibilidade de algum recurso ao plenário do Congresso, cenário considerado remoto por envolvidos no debate.
Grandes consultorias que oferecem serviços de compliance relatam que quem estava na dúvida sobre fechar contrato para obter auxílio na adequação à lei o fez desde quarta. A percepção geral, também nos escritórios de advocacia, é de que mesmo as empresas mais maduras no processo de adequação recém iniciaram a jornada.
Das companhias que se propõem a discutir o tema, só 38% afirmam estar em conformidade com a lei, segundo diagnóstico da Ernst & Young feito em parceria com a Associação Brasileira das Empresas de Software, que ouviu 2.000 organizações em março.
A perspectiva é até otimista se comparada com alguns levantamentos da Europa, que indicavam que na estreia da lei de privacidade por lá, em 2018, 60% das empresas não estavam prontas.
"O grau de conformidade e de maturidade é muito baixo no Brasil. A lei é de 2018. Nem dois anos ou o dobro de tempo é suficiente para quem que não colocar a privacidade como prioridade", diz Marcos Semola, sócio da Ernst & Young para cibersegurança, que ajudou a adequar cerca de 50 empresas.
Apesar do tempo para implementação, o Brasil nunca contou com uma regulação robusta de privacidade como a Europa, que segue diretrizes para o tema desde a década de 1980. Além disso, o país também entra nessa fase sem a Autoridade Nacional de Proteção de Dados (ANPD) formada. O órgão é um elemento central para orientar e supervisionar a atuação de entes públicos e privados.
A autoridade foi institucionalizada na quarta (26), mas ainda depende de indicações de Bolsonaro, que escolherá cinco nomes para a direção. Essa definição vinda diretamente do Executivo preocupa a sociedade civil e lideranças empresariais, que defendem a formação de um corpo 100% técnico para a função, não político.
As multas que serão impostas pela ANPD em casos de descumprimento da lei ficaram para agosto de 2021. As empresas, entretanto, devem se preparar para receber solicitações e serem alvo de ações judiciais de outras autoridades, como de proteção ao consumidor. De forma prática, podem considerar possíveis enxurradas de Procons.
Do lado dos usuários, os principais direitos que começam a valer são relacionados ao acesso a informações. A lei coloca o cidadão na figura de titular de seus dados pessoais.
Será possível, por exemplo, não só perguntar a uma empresa que dados ela armazena e como, mas pedir uma cópia dos mesmos. Em algumas situações, o cidadão poderá solicitar que dados sejam eliminados (como nome, telefone, endereço ou um dado adquirido de forma não consentida).
Se uma pessoa se sentir lesada por sistemas automatizados, como uma exclusão de um processo seletivo feito por robô ou mesmo condições de crédito diferenciadas sem explicação, terá garantia legal para obter uma resposta da empresa. Uma farmácia, por exemplo, terá que responder por que quer seu CPF e se compartilha seu histórico de compra de remédios.
Entre as maiores consultorias, a Deloitte já prestou serviço a cerca de 60 empresas. Ela resume algumas etapas de planejamento comuns a companhias de todas os setores: mapear os dados, o fluxo e o tratamento conferido a eles; buscar uma base jurídica para proteger a organização; adequar os processos à lei; e organizar a governança interna para o tema, o que inclui definir um DPO (sigla de data protection officer, o encarregado de proteção de dados).
"A empresa tem que ter muito claro o propósito da coleta de dados, para qual finalidade serve, como coleta e de que forma os usa", diz Marcelo Farias, sócio da área de cyber risk da Deloitte.
Entre as pequenas empresas, a maior dificuldade agora é direcionar recursos para a adaptação. O contexto é agravado pela ausência da autoridade, que possivelmente dará tratamento diferenciado a depender do porte da organização. Uma startup não será tratada como um gigante de redes sociais.
O mercado está precificando de modo muito aleatório a adaptação à LGPD, até porque cada empresa está em uma etapa diferente. Há quem precise alterar toda a área de tecnologia para manter os dados seguros, comprar licenças de softwares porque usa sistemas inseguros e contratar e treinar profissionais de diferentes áreas.
Há casos de grandes companhias, como bancos e de telecomunicação, que já chegaram a desembolsar mais de R$ 40 milhões para renovar todos os processos. Um grande projeto de prestação de serviço, que envolva toda a avaliação de processos internos com dados, dificilmente começa por menos de R$ 500 mil a uma empresa de grande porte, de acordo com consultorias do mercado.
O setor público, que também é regido pela lei e têm que garantir a proteção de dados de mais de 200 entidades federais ligadas aos 22 ministérios, também tem buscado soluções de mercado que ofereçam ajuda do início ao fim do processo. Alguns órgãos já indicaram seus DPOs, os encarregados a ter a interlocução com a ANPD.
"Nao existe uma certificação que diz que você é CEO, então é uma função, o mesmo vale para o DPO", diz Renato Leite Monteiro, diretor do Data Privacy Brasil, uma das primeiras escolas que passou a oferecer cursos de privacidade e de proteção de dados.
Entre os padrões elevados de multinacionais que transacionam dados entre diferentres países, esse cargo pode chegar a US$ 100 mil ao ano, segundo a IAPP, principal certificadora desse tipo de profissional mundo. É claro que uma padaria de bairro não designará um funcionário para isso.
Um DPO não necessariamente precisa ser da área jurídica, pode ser de segurança da informação ou de outra disciplina. Sua principal incumbência é manter independência da empresa e conhecer todos os processos da corporação, para funcionar como um bom porta-voz aos consumidores ou reguladores. "É como um ombudsman, mas dos dados", diz Monteiro.
A lei de proteção de dados serve para os ambientes online e offline. Informações sensíveis, como posição política, opção religiosa e vida sexual receberão tratamento mais rigoroso.
Notou alguma informação incorreta no conteúdo de A Gazeta? Nos ajude a corrigir o mais rapido possível! Clique no botão ao lado e envie sua mensagem
Envie sua sugestão, comentário ou crítica diretamente aos editores de A Gazeta