Economia

Mais da metade das empresas não está pronta para lei de proteção de dados

Lei Geral de Proteção de Dados entrará em vigor em agosto, mas o país não está preparado para se adequar à nova legislação. Mais da metade das pequenas empresas (58%) ainda não se adaptaram, segundo a ICTS

Simone Kafruni
postado em 17/02/2020 06:00
Lei Geral de Proteção de Dados entrará em vigor em agosto, mas o país não está preparado para se adequar à nova legislação. Mais da metade das pequenas empresas (58%) ainda não se adaptaram, segundo a ICTS
Na era digital, o direito à privacidade quase nunca é respeitado. Dados pessoais são tratados como mercadorias, o que compromete a liberdade e o sossego dos usuários de quase todo o tipo de serviço. Os brasileiros terão um importante aliado na defesa de informações sensíveis a partir de agosto, quando, em tese, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor. Apesar de faltar menos de seis meses para a adequação à legislação, o Brasil não está preparado.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador criado apenas no papel, está longe de entrar em operação. Se o governo não dá exemplo, o setor privado não fica atrás. Levantamento realizado pela ICTS Protiviti, empresa de pesquisa de mercado, revela que 58% das pequenas empresas ainda não se adaptaram para cumprir a lei e, de acordo com estudo do Reclame Aqui, mais de 41% dos empreendedores desconhecem o que é a LGPD (ver quadro ao lado).

Não à toa, está em tramitação na Câmara um projeto de lei de autoria do deputado Carlos Bezerra (MDB-MT), o PL n; 5762/2019, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. ;As maiores dificuldades das empresas na implementação da LGPD são, além da incorporação dos princípios da proteção de dados às suas missões e valores, o investimento, a amplitude e o prazo para implementação;, destaca a advogada especialista em direito digital Isabela Pompilio, sócia do TozziniFreire Advogados. Segundo ela, será necessária a formação de equipes especializadas em direito e em segurança da informação e investimento tanto na segurança do sistema quanto na capacidade de armazenamento.

O esperado é que seja feita a classificação de todas as informações e o armazenamento de acordo com a sensibilidade dos dados, o que naturalmente impacta em toda a estrutura de pessoal, de funcionamento e financeira das empresas. A sócia do Felsberg Advogados Clarissa Luz, especializada em Proteção de Dados pela Universidade da Califórnia, destaca três pontos importantes. ;A primeira questão traz necessidade de adequação de medidas técnicas e administrativas para manter proteção, evitar excesso de tratamentos que não estejam de acordo com o serviço prestado ao consumidor;, pontua.

Sem a autoridade regulatória em operação, a lei ainda especifica todos os detalhes de como é o procedimento de adequação. ;Temos exemplos na União Europeia (UE), para direcionar métodos a serem adotados pelas empresas, contratos modelos, isso tudo já existe. No Brasil, não há nem a cultura nem as diretrizes, que só virão com a implementação da ANPD;, avaliou. Segundo Clarissa, é necessário que haja urgência por parte das empresas, porque modelos de negócios complexos têm dados mais sensíveis. ;As companhias estão atrasadas. Se não começarem vai ser pior. Mesmo sem a lei, existem mais de 40 dispositivos que protegem os dados e já se tem registro de R$ 7 milhões em multas;, afirma.

Para o gerente de tecnologia da informação da BRQ, Alexandre Cunha, a dificuldade das pequenas e médias empresas é relacionada a custos, que podem ser menores com terceirização, enquanto a ineficiência do governo em consolidar a ANPD é ainda mais preocupante. ;Para os negócios menores, adaptação representa aumento de custos. Mas, como têm dados de funcionários, clientes e fornecedores, é melhor estar preparado. Contratar um serviço terceirizado vai sair mais barato do que pagar multas;, diz.

Lei Geral de Proteção de Dados entrará em vigor em agosto, mas o país não está preparado para se adequar à nova legislação. Mais da metade das pequenas empresas (58%) ainda não se adaptaram, segundo a ICTS
Lei Geral de Proteção de Dados entrará em vigor em agosto, mas o país não está preparado para se adequar à nova legislação. Mais da metade das pequenas empresas (58%) ainda não se adaptaram, segundo a ICTS
Lei Geral de Proteção de Dados entrará em vigor em agosto, mas o país não está preparado para se adequar à nova legislação. Mais da metade das pequenas empresas (58%) ainda não se adaptaram, segundo a ICTS


Ineficiência

Com relação ao atraso na implementação da autoridade nacional, Cunha considera um atestado de ineficiência do governo. ;Se ocorrer, o adiamento vai nos colocar numa condição de desorganização, com impacto na reputação do país. O sistema de proteção já roda na União Europeia;, lembra. ;Independentemente da lei ser prorrogada ou dessa indefinição pública da estrutura do órgão regulador, as empresas precisam se movimentar;, alerta.

O especialista em compliance Pedro Henrique Costódio, sócio do FenelonCostódio Advocacia, critica a cultura do brasileiro, de deixar tudo para última hora. ;Embora tenha prazo para entrar em vigor em agosto, a lei foi aprovada em 2018. O início da discussão, no entanto, começou só no fim do ano passado;, assinala. Para o setor privado, há um custo de implementação necessário, afirma. ;Na área de consumo, há demanda por dados, para atingir um público-alvo. Sem proteção, é muito fácil obter esses dados na internet. As empresas vão ter de avaliar quais serão tratados, fazer uma análise de eventuais furos para protegê-los;, destaca.

;Não se trata só da questão do consumidor. Num cenário extremo, uma pessoa em relação extraconjugal e vai num hotel, se os dados vazarem é um grande problema. Envolve proteção da honra. No caso de hospitais com prontuários médicos que são sigilosos, também é preciso ter o tratamento devido para evitar discriminação;, exemplifica. As penalidades para quem descumprir a lei vão desde advertência até multas de 2% do faturamento bruto da empresa limitada R$ 50 milhões por infração. ;Não vejo possibilidade de prorrogação, porque tivemos dois anos para a adequação;, opina.



Para saber mais

Casos recentes revelaram a vulnerabilidade da segurança de sistemas digitais de grandes instituições, que precisariam dar mais explicações se a Lei Geral de Proteção de Dados já estivesse em vigor. No mês passado, um especialista descobriu que o site da Caixa Econômica Federal permitia o vazamento do token de sessão de usuários. A vulnerabilidade nessa chave dava acesso às informações como CPF, nome completo, conta e extrato do Fundo de Garantia do Tempo de Serviço (FGTS) e endereço. Na ocasião, a Caixa informou em nota que o problema foi corrigido. Em novembro de 2019, uma falha no sistema da Unimed expôs 18 milhões de beneficiários do plano de saúde. A empresa, também em nota, disse que ;investe em tecnologias que garantam a segurança das operações e a proteção dos dados; e se comprometeu a ;investigar qualquer suspeita de vazamentos ou ataques cibernéticos;.

Dúvidas até nas nuvens


Grandes provedores de serviços na nuvem também precisam se adaptar, sustenta Robson Andrade, diretor da Zadara, empresa de armazenamento com isolamento de dados. ;Com relação às melhores práticas, fala-se de criptografia. Porém, a garantia tem de ser do cliente. Não adianta o datacenter ter a chave da criptografia, a chave tem de ser da empresa contratante. A lei diz isso claramente;, explica.

No caso de armazenamento na nuvem, os dados ficam todos no mesmo lugar. ;Para assegurar a proteção, é necessário um isolamento físico dos dados. Para provar que o dado vazou, precisa ver onde ele está. Se está junto com outros, não dá nem para fazer perícia;, justifica.

Por conta dessa complexidade, Andrade estima que quase 80% das empresas, incluindo as grandes, que detêm dados mais sensíveis, ainda não se movimentaram para se adequar à lei. ;Se for olhar no funil, quem gera dado não é a pequena empresa. São as administradoras de cartão de crédito, seguradoras, planos de saúde, bancos. Cerca de 50 grandes empresas detêm 30% do volume de dados do Brasil;, sustenta. O diretor diz, ainda, que o Brasil assinou um tratado com a União Europeia. ;Se o prazo para vigorar for dilatado, o tratado é interrompido;, aponta.

A especialista em direito digital Isabela Pompilio explica que, para se adaptarem, as empresas têm no mercado a oferta de diversos softwares que garantem monitoramento e gestão dos dados, com base nas diretrizes da LGPD. ;Os custos de implementação poderão variar a depender do porte da companhia, suas necessidades e cultura organizacional;, diz.

A lei também prevê a criação de um Comitê de Segurança dentro das empresas, bem como a designação de um Encarregado de Proteção de Dados, que seria a figura do chamado de Data Protection Officer (DPO) na GDPR (lei da UE). ;O ideal é que esse profissional, que poderá ser terceirizado, tenha conhecimento jurídico, de segurança de informação e de governança, uma vez que será responsável por supervisionar a estratégia usada na preservação de dados e colocá-la em prática;, defende.

Segundo Isabela, não há determinação de prazo específico para o armazenamento dos dados pessoais, sensíveis ou não. ;A ausência de fixação de prazo determinado se explica em razão das diversas finalidades que cada empresa pode emprestar aos dados que possui. O término do tratamento dos dados pessoais ocorrerá principalmente quando for verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;, explica.

A advogada explica, ainda, que, caso as empresas forem vítimas de hackers, poderão se defender em procedimento administrativo, com ampla defesa.

A Presidência da República, responsável pela criação da Autoridade Nacional de Proteção de Dados, transfere a competência sobre o tema para a Casa Civil. Procurada, a pasta, no entanto, não respondeu até o fechamento desta edição.

Tags

Os comentários não representam a opinião do jornal e são de responsabilidade do autor. As mensagens estão sujeitas a moderação prévia antes da publicação