ICTS Protiviti/Divulgação
ICTS Protiviti/Divulgação

Pandemia atrapalhou adequação das empresas à Lei Geral de Proteção de Dados, diz especialista

Segundo André Cilurzo, diretor associado da ICTS Protiviti, companhias focaram na sobrevivência nos últimos meses e deixaram para depois a adoção de medidas para seguir a LGPD

Heloísa Scognamiglio, O Estado de S.Paulo

09 de dezembro de 2020 | 14h49

Grande parte das empresas brasileiras ainda está despreparada para o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD). É o que afirma André Cilurzo, especialista em LGPD e diretor associado da empresa de consultoria ICTS Protiviti. Segundo ele, a falta de adequação à nova regra acontece por dois motivos principais: a pandemia de covid-19 e a confusão sobre a data em que a lei entraria em vigor.

“Quando a pandemia começou e de fato percebemos que o problema era sério, praticamente todas as empresas estavam com o foco exclusivamente em sobrevivência. Algumas ainda estão. Questões de adequação e conformidade com regulamentações, incluindo a LGPD, ficaram em segundo plano”, diz Cilurzo.

O especialista indica ainda a mudança de datas do início da vigência da lei pelo governo como outro fator que contribuiu para que as empresas não começassem sua adequação. Em abril, uma medida provisória tentou adiar o início da vigência da LGPD para maio de 2021. Depois, a Câmara diminuiu o prazo para dezembro deste ano, mas o Senado retirou o trecho sobre o adiamento e o presidente Jair Bolsonaro sancionou o projeto, dando início à vigência da lei.

“Houve uma confusão do próprio governo. As empresas acabaram acreditando muito que haveria a postergação. Mesmo as grandes empresas, que já vinham trabalhando de maneira bastante intensa no trabalho de adequação à LGPD, também acreditaram. Entrou em vigor em setembro e as empresas estavam focadas ainda em outras ações, muitas delas em sobreviver. Esse cenário, a meu ver, é o principal motivo para que grande parte das empresas ainda não estejam com um programa sustentável de adequação a LGPD”, conta Cilurzo.

O objetivo da LGPD é regulamentar a coleta, o armazenamento e o tratamento de dados pessoais, para garantir maior responsabilidade e mais transparência em como as empresas lidam com as informações de clientes e funcionários. Entre seus principais pontos, a lei determina o direito do titular dos dados em saber quais informações suas a empresa mantém e com qual finalidade. A LGPD ainda estipula regras sobre ressarcimento de danos relacionados ao tratamento dos dados.

Uma pesquisa realizada pela ICTS Protiviti também aponta um atraso no cenário de cumprimento da LGPD. O levantamento foi feito pela internet, com a aplicação de uma avaliação das companhias em relação à sua adequação à LGPD: de 296 empresas participantes entre outubro de 2019 e outubro de 2020, 82% tiveram pontuação menor que 50 em 100 pontos possíveis, sendo consideradas atrasadas em seu trabalho de adequação. Apenas 18% pontuaram acima de 50. A pontuação média foi 24,9.

Das participantes, 45,1% eram micro e pequenas empresas, 20,3% médias e 22,1% grandes empresas. Os setores das companhias são vários: bancos, varejo, agropecuário, alimentos, telecomunicações, petróleo, energia, indústria, saúde, educação, entre outros. A maior parte das participantes era de capital fechado (88,18%); a minoria, de capital aberto (11,82%).

Punição e conscientização

Mesmo com a lei valendo, a Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por regular a LGPD, ainda não está operando. E punições por eventuais descumprimentos da lei, como multas que podem chegar a 2% do faturamento da empresa, limitado a R$ 50 milhões, só passarão a ser aplicadas a partir de agosto de 2021.

“O fato de a multa ter ficado para depois é um problema. Porque as empresas acabam entendendo que elas não vão ter penalizações. Mas se os titulares dos dados tiverem algum tipo de dano ou vazamento, eles podem entrar na justiça”, alerta Cilurzo. “Tivemos o caso de vazamento de informações do Ministério da Saúde. Isso eventualmente pode trazer algum tipo de penalização. Mesmo sem a autoridade poder aplicar a lei, o próprio Ministério Público pode aplicar.”

A pesquisa da ICTS Protiviti mostra que, entre as empresas que responderam à avaliação em 2020, os quesitos que elas mais cumprem para adequação à LGPD são a existência de políticas ou normativos (45,2%) e a existência de um programa de segurança da informação (36,6%). Os números ainda são considerados baixos. Outros quesitos são cumpridos por ainda menos companhias, como a capacitação dos colaboradores (32,2%) e o mapeamento das bases legais para processamento de dados pessoais ou sensíveis (28%), considerados muito importantes por André Cilurzo.

Para ele, a conscientização de colaboradores é essencial para ações de mitigação de riscos. “Se as pessoas não conhecerem os riscos e os processos relacionados ao tratamento da informação, é muito provável que essa informação vaze”, diz. "E realmente a empresa tem que ter uma clara visão de que tem fundamento jurídico para o tratamento do dado. Caso não tenha, tem que adaptar seus processos, pedir o consentimento para a pessoa titular, por aí vai."

Cilurzo defende que, para a lei “pegar”, será necessário também conscientizar o consumidor. “Um cidadão comum que vai fazer uma compra na farmácia não tem ciência dos direitos relacionados à utilização dos seus dados pessoais. É como se fosse a lei do direito do consumidor no começo, em que empresas e consumidores tiveram que entender os direitos e deveres. E até as pessoas absorverem esse conhecimento, ainda há uma própria maturação do mercado para poder se adequar e conseguir ganhar corpo dentro desse modelo”, comenta.

Grandes empresas x pequenas empresas

O levantamento da ICTS Protiviti apontou que grandes empresas estão em média 50,2% mais preparadas para cumprir a LGPD do que as micro e pequenas. “Grandes empresas estarem à frente é da própria exposição. Empresas que são mais conhecidas, principalmente as que lidam diretamente com o cliente final são mais expostas. Estamos falando aqui de bancos, de e-commerce, do varejo. Obrigatoriamente elas têm uma celeridade no seu processo de adequação”, declara Cilurzo.

“Já as pequenas empresas vão demorar um pouco para entender a própria legislação, pelo fato de elas não terem muitas vezes uma área de compliance, uma área jurídica para sinalizar as eventuais demandas de riscos e potenciais impactos que a LGPD pode trazer para a empresa, isso acaba colocando o trabalho de adequação como uma segunda prioridade para médias e pequenas empresas”, esclarece.

Uma situação que precisa mudar, de acordo com o especialista, é a quantidade de dados coletados pelas empresas. “Com a facilidade de coletar dados hoje, as companhias colocam muito dado para dentro - que não são necessários para sua atividade. São dados que acabam expondo a empresa a um risco. Colocar diversas informações para dentro para não utilizar ou pensando que um belo dia vai utilizar, possibilita que essas informações vazem”, diz o especialista.

Não se adequar traz riscos

Cilurzo diz que as empresas que estão atrasadas em seu trabalho de adequação devem apertar o passo. “O fato de elas não estarem adequadas abre um grande risco. Mas se as empresas quiserem implementar tudo de uma única vez, não vão conseguir implementar nada direito. Há um processo a ser seguido”, afirma.

Para ele, identificar a necessidade de adequação e o que é prioritário para o modelo de negócio são os primeiros passos. É importante também ter um canal de atendimento ao titular do dado, caso ele peça informações sobre seus dados pessoais, já que a lei obriga a empresa a atender essas demandas. “E, por último, deve haver investimento na segurança da informação, principalmente para mitigar dois grandes riscos principais: o vazamento e o tratamento indevido de dados”, conclui Cirluzo.

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Tendências:

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.