Home  >  Negócios

Falta de políticas públicas de apoio à LGPD torna adequação ainda mais desafiante

Lei entra em vigor em agosto deste ano e empresários ainda encontram desafios para compreender e se adaptar às novas normas

Karina Pizzini, especial para Computerworld

10/02/2020 às 11h00

Foto: Shutterstock

Faltam seis meses para a aplicação da Lei nº13.709/18, a Lei Geral de Proteção de Dados Pessoais (LGPD), inspirada na lei Europeia GDPR. Desde o escândalo internacional envolvendo o Facebook e a consultoria Cambridge Analytica e outros casos de vazamento de dados pessoais por parte de grandes empresas, a preocupação com a cibersegurança cresce mundo afora. Paralelamente, amplia-se o uso de tecnologias que utilizam dados pessoais e as empresas ficam cada vez mais dependentes delas.

Leia mais na IT Trends

A regularização é inevitável e, segundo especialistas, importante para a privacidade da população e para as relações comerciais do País no exterior, mas a ausência de políticas públicas após sua sanção, em 2018, prejudica a adequação das empresas, sobretudo para as pequenas e médias. As grandes corporações tendem a sofrer menos com o impacto da Lei, principalmente as que já possuem relações comerciais com a Europa e, desde 2016, tiveram que se adequar às normas de segurança de dados da região. Entretanto, a rede de fornecedores locais das grandes companhias também precisa se adequar com conformidade para não perder negócios.

O diretor de engenharia da Fortinet, empresa especializada em cybersegurança, Alexandre Bonatti, conta que os primeiros meses após a sanção da lei foi de ceticismo e amadurecimento da ideia para muitos empresários brasileiros. “Por isso, acho que as empresas demoraram a se adaptar. Com a lei promulgada e prazo estipulado, entraram então para um modo de desespero”, conta.

Durante a implementação da GDPR, as empresas europeias, assim como as brasileiras, também consideraram o prazo de adequação curto. Entretanto, a advogada especialista em direito digital, Patrícia Peck, explica que o cenário europeu de governança empresarial e o contexto cultural da população sobre o tema já estavam mais estabelecidos.

“Alguns atos fundamentais necessários para que uma legislação fique bem estabelecida envolve não apenas fazer a lei. Você tem que fazer a lei acompanhada de uma política pública para implementação. Você dissemina os mecanismos para viabilizar a implementação da legislação em todos os setores da sociedade, da pequena empresa à grande empresa, do setor público ao privado”, comenta.

Sobre a possibilidade de prorrogação do prazo de adequação, Patrícia alerta para as possíveis consequências nas relações comerciais do País. “O pensamento sobre prorrogação da lei pode nos afetar no ponto de vista econômico, criar barreira comercial, então assim, por mais que se diga ‘precisamos de prazo’, devemos considerar o que significa ter mais prazo. O que nós não fizemos em dois anos que faríamos agora? Mais quanto tempo? Qual é o plano de ação? Ou seja, logicamente existe uma questão complexa que outros países estão fazendo o dever de casa”, considera Patrícia.

A advogada lembra ainda que as adequações exigem soluções tecnológicas, das quais empresas de menor porte têm mais dificuldade de cumprir devido ao alto investimento. “Poderia ter linha de crédito para que o empresário pudesse contratar soluções tecnológicas, porque tem empresas que vão precisar implementar medidas de segurança para proteger dados virtuais e isso requer investimento. Você não tem como ficar em conformidade com essa legislação sem investir”, afirma.

Outros desafios

O sócio-líder de cibersegurança para a América Latina da Ernest Young, Demétrio Carrión, diz que o maior desafio das empresas é dimensionar o impacto da lei e adaptar a política interna à proteção de dados. Para aqueles que estão atrasados, Carrión alerta para o fator de risco, porém lembra que pouco se sabe sobre como a lei irá operar e ser fiscalizada. Minimamente, o executivo recomenda que as empresas que ainda não iniciaram o processo tenham como provar que têm condições de gerenciar os dados pessoais dentro da regulamentação.

Para Bonatti, da Fortinet, a compreensão da lei é o primeiro desafio encontrado pelos empresários. “O primeiro grande desafio nosso é que nossos clientes estejam preparados para isso, principalmente a capacitação. Como a Lei ainda não foi instituída, ainda existe um buraco negro e as empresas estão um pouco perdidas com a forma que devem seguir, para que elas possam pelo menos iniciar o processo”, comenta.

Ele conta que os clientes os procuram sem saber por onde iniciar o processo, pela parte jurídica ou tecnológica. A empresa então orienta os clientes a partir de três pilares: evolução da tecnologia, análise jurídica e capacitação. “Eu acredito que elas nunca estarão totalmente preparadas, mas é importante mencionar, que um dos primeiros pilares que se precisa trabalhar muito forte é o da conscientização. No Brasil é sempre reforçado a multa, mas a gente sabe que não existe um manual dizendo como as próprias autoridades vão cobrar isso”, diz Bonatti.

Patrícia também ressalta a importância de um programa educativo que esclareça melhor a importância da lei para a população. “Quando a própria autoridade não gera a campanha educativa da lei, fica parecendo que aquela lei vai ficar no papel, que ela não vai acontecer na prática e isso é muito ruim, porque, do ponto de vista social, as leis são necessárias para estabelecer os padrões de comportamento, para trazer segurança jurídica para as relações”, comenta a advogada.

Próximos passos

Em seu e-book sobre privacidade e proteção de dados, a Ernest Young oferece recomendações para as empresas se organizarem em conformidade com a nova lei, seja com o auxílio de consultorias ou com recursos e capacidades internas. A consultoria sugere os seguintes passos:

  • Estabelecer um comitê diretor como alicerce para o programa de privacidade;
  • Construir uma equipe com formação multidisciplinar;
  • Obter apoio do corpo executivo;
  • Realizar mapeamento de fluxo de dados seguindo uma abordagem baseada em risco;
  • Usar a tecnologia como meio;
  • Aproveitar as oportunidades de ganhos rápidos de maturidade.

“Em um bom cenário, um conselho de administração deveria demandar uma diligência de compliance e conscientizar os diretores da organização, pois a adaptação exige uma mudança em áreas muito sensíveis da empresa”, diz Carrión. Outro ponto destacado pelo executivo é analisar a situação de forma transversal, entender que é preciso atuar de forma integrada. Dessa forma, as áreas corporativas mais impactadas pela necessidade de governança de privacidade, e proteção de dados, apontadas pelo levantamento da EY são:

  • Segurança da informação;
  • Marketing;
  • Call center;
  • Governança de dados;
  • Jurídico;
  • Relações públicas;
  • Auditoria interna;
  • Riscos;
  • Compliance;
  • Tecnologia da informação

A advogada Patrícia Peck atenta para as medidas estruturantes da lei, que ajudam a proteger o próprio empresário, uma vez que os dados pessoais armazenados são patrimônio da empresa e um vazamento poderia acabar com a reputação dela. “Sugiro olhar isso como uma oportunidade de proteção patrimonial do empresário. Começar a trabalhar pelo lado da vitrine, identificar o mínimo necessário para atender a legislação e criar, dentro desse projeto, um cronograma para os próximos seis meses para atender esse mínimo necessário”, orienta.

O mínimo que Patrícia se refere pode começar com a atualização de documentos, como sobre a política de privacidade e de proteção de dados, no site da empresa e nos aplicativos, e o termo de confidencialidade. “Se a empresa não tem esse documento é importante que tenha. Você acaba atualizando a política de trabalho, o contrato de trabalho, pois são os colaboradores que vão manusear os dados pessoais”, alerta. Se a empresa não tem como contratar uma consultoria, Patrícia sugere que busque auxílio junto à sua associação comercial.

Do outro lado, é importante também uma forte solução técnica, com investimento em criptografia, controle de acesso e descarte seguro de informação. “Tem muito conteúdo já disponível na internet para se familiarizar com o tema, para não ser pego de surpresa na hora que receber uma autuação”, lembra a especialista.