Embora a Lei Geral de Proteção de Dados (LGPD) tenha entrado em vigor na sexta-feira, depois que o presidente Jair Bolsonaro sancionou o projeto, a maior parte das empresas brasileiras não está preparada para pôr em prática as regras de transparência e as medidas previstas na legislação para evitar que as pessoas tenham seus dados vazados: 60,3% não estão em conformidade com as novas regras, e só 39,7% se declaram aptas a cumprir todas as exigências.
Os dados são de um levantamento da Associação Brasileira das Empresas de Software (Abes) em conjunto com a consultoria Ernst & Young (EY), feito com 1.726 companhias.
Segundo Marcos Sêmola, sócio de Cibersegurança da EY, 29,7% das empresas admitem ter sofrido algum incidente de violação de dados nos últimos dois anos — o que configura grandes riscos, já que 74,7% delas coletam dados considerados sensíveis (biométricos, de saúde, religiosos, genéticos).
— Uma das grandes dificuldades das empresas é entender o escopo da lei, perceber que os riscos precisam ser vistos de forma integrada, num esquema holístico — diz Sêmola.
Em levantamentos específicos feitos em estados pela Abes com a consultoria em julho, 60% das empresas do Rio de Janeiro e 58% das de São Paulo também não estavam em conformidade com a lei.
Todos os setores
Entre os setores pesquisados no levantamento, atualizado em tempo real, o agronegócio e o varejo tinham os índices mais baixos de aplicação (29,8% e 33,9%, respectivamente), enquanto a indústria contava com 36,3% de conformidade, o setor de serviços tinha 37,8%, o financeiro, 38,6%, e a área de tecnologia, 43,9%.
Segundo o advogado Carlos Affonso Pereira de Souza, diretor do Instituto de Tecnologia e Sociedade (ITS), há a percepção equivocada de que a lei é voltada apenas para o setor tecnológico.
— A LGPD não é o Marco Civil da Internet, ela se aplica a todos os setores — destaca Affonso. — Há quem pergunte: ah, mas eu sou varejista, nem tenho e-commerce, será que preciso dessa lei? Precisa sim, pois você lida com dados financeiros de seus clientes. E roda a folha de pagamento dos funcionários. Tudo isso se aplica.
A Autoridade Nacional de Proteção de Dados (ADPD), órgão que será responsável por organizar e fiscalizar o tratamento de dados no país, só pode começar a funcionar depois que o presidente Jair Bolsonaro nomear um diretor-presidente, o que ainda não aconteceu.
O governo também precisa formar o conselho diretor, composto por cinco membros indicados pela Casa Civil. Esses diretores teriam que ser aprovados pelo Senado Federal, o que pode atrasar ainda mais o funcionamento da ANPD, porque as comissões da Casa, que apreciam as indicações, não estão funcionando por causa da pandemia.
Mas, na visão de Sêmola, essa falta não isenta as empresas de responsabilidade.
— As empresas têm de sair da inércia, porque, mesmo com as penalidades previstas só a partir de agosto de 2021, o Ministério Público pode ser acionado, os órgãos de defesa do consumidor também.
Para quem ainda não se adaptou às novas regras, a advogada Patrícia Peck, especializada em direito digital e proteção de dados, elaborou um passo a passo que ela batizou como "plano de ação emergencial" para a adaptação à nova lei.
Veja como se adequar
Política de privacidade: Primeiro, a empresa precisa atualizar sua política de privacidade e de proteção de dados em seus canais (documentos, sites, informativos etc), deixando claro para que fins serão usados dados pessoais de consumidores, parceiros, funcionários etc.
Encarregado de dados: Deve-se indicar, como previsto na lei, o chamado Data Privacy Officer (DPO, ou o Encarregado de Dados), e divulgar imediatamente seu contato. Ele é quem vai responder diretamente pela implementação da LGPD na empresa e deverá ser contatado para dirimir dúvidas a respeito. "O ideal é que seja alguém com bom conhecimento da legislação", diz Patrícia. Sêmola frisa que ess função deve caber a alguém capaz de ter uma visão global da empresa, não se restringindo a um departamento específico.
Terceirizados: Não só consumidores e parceiros, mas também funcionários e terceirizados saber com clareza como seus dados serão manejado. Por isso, no caso de terceirizados que lidam com dados pessoais, é preciso adaptar cláusulas dos contratos de modo que eles saibam como devem lidar com as informações. "Por exemplo, usando uma VPN segura, estando cientes de que não podem compartilhar esses dados com outros, de modo que a empresa se precavenha contra punições", diz Patricia.
Recursos Humanos: É preciso atualizar as políticas do departamento de Recursos Humanos (RH) para dar transparência e ciência ao informar como serão utilizados os dados de funcionários (inclusive seus dependentes) e candidatos a uma vaga na companhia.
Serviços: A empresa deve se certificar de que os serviços que contrata para lidar com dados pessoais cumprem os requisitos da lei, como empresas de crédito e cobrança, telemarketing, marketing digital e afins.
Áreas comuns: As informações da política de privacidade e proteção de dados devem estar bem divulgadas não só nos canais digitais como em ambientes como a recepção e áreas comuns, inclusive nos setores terceirizados.
Consentimentos: As empresas devem ficar atentas à chamada gestão das permissões e consentimentos. "Com a LGPD, as pessoas podem concordar ou revogar permissões quando quiserem. Por isso, é importante que uma ferramenta tecnológica monitore e mantenha atualizada a lista dos consentimentos", explica Patrícia.
Canais de atendimento: É preciso implementar canais de atendimento para consumidores, parceiros, fornecedores e funcionários que atendam às requisições de informação sobre a política de uso de dados pessoais.
Campanhas: É importante fazer campanhas educativas sobre a LGPD na companhia.
Vazamentos de dados: As empresas devem estar preparadas para responder a eventuais incidentes de segurança, como vazamentos de dados, e reportá-los sem demora.
Melhores práticas: É recomendável protocolar um Código de Melhores Práticas (através da associação do setor da empresa), junto à Autoridade Nacional de Proteção de Dados (ANPD), ainda a ser implementada.