Publicidade

Correio Braziliense

Mais da metade das empresas não está pronta para lei de proteção de dados

Lei Geral de Proteção de Dados entrará em vigor em agosto, mas o país não está preparado para se adequar à nova legislação. Mais da metade das pequenas empresas (58%) ainda não se adaptaram, segundo a ICTS


postado em 17/02/2020 06:00 / atualizado em 18/02/2020 12:27


Na era digital, o direito à privacidade quase nunca é respeitado. Dados pessoais são tratados como mercadorias, o que compromete a liberdade e o sossego dos usuários de quase todo o tipo de serviço. Os brasileiros terão um importante aliado na defesa de informações sensíveis a partir de agosto, quando, em tese, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor. Apesar de faltar menos de seis meses para a adequação à legislação, o Brasil não está preparado.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador criado apenas no papel, está longe de entrar em operação. Se o governo não dá exemplo, o setor privado não fica atrás. Levantamento realizado pela ICTS Protiviti, empresa de pesquisa de mercado, revela que 58% das pequenas empresas ainda não se adaptaram para cumprir a lei e, de acordo com estudo do Reclame Aqui, mais de 41% dos empreendedores desconhecem o que é a LGPD (ver quadro ao lado). 

Não à toa, está em tramitação na Câmara um projeto de lei de autoria do deputado Carlos Bezerra (MDB-MT), o PL nº 5762/2019, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. “As maiores dificuldades das empresas na implementação da LGPD são, além da incorporação dos princípios da proteção de dados às suas missões e valores, o investimento, a amplitude e o prazo para implementação”, destaca a advogada especialista em direito digital Isabela Pompilio, sócia do TozziniFreire Advogados. Segundo ela, será necessária a formação de equipes especializadas em direito e em segurança da informação e investimento tanto na segurança do sistema quanto na capacidade de armazenamento.

O esperado é que seja feita a classificação de todas as informações e o armazenamento de acordo com a sensibilidade dos dados, o que naturalmente impacta em toda a estrutura de pessoal, de funcionamento e financeira das empresas. A sócia do Felsberg Advogados Clarissa Luz, especializada em Proteção de Dados pela Universidade da Califórnia, destaca três pontos importantes. “A primeira questão traz necessidade de adequação de medidas técnicas e administrativas para manter proteção, evitar excesso de tratamentos que não estejam de acordo com o serviço prestado ao consumidor”, pontua.

Sem a autoridade regulatória em operação, a lei ainda especifica todos os detalhes de como é o procedimento de adequação. “Temos exemplos na União Europeia (UE), para direcionar métodos a serem adotados pelas empresas, contratos modelos, isso tudo já existe. No Brasil, não há nem a cultura nem as diretrizes, que só virão com a implementação da ANPD”, avaliou. Segundo Clarissa, é necessário que haja urgência por parte das empresas, porque modelos de negócios complexos têm dados mais sensíveis. “As companhias estão atrasadas. Se não começarem vai ser pior. Mesmo sem a lei, existem mais de 40 dispositivos que protegem os dados e já se tem registro de R$ 7 milhões em multas”, afirma.

Para o gerente de tecnologia da informação da BRQ, Alexandre Cunha, a dificuldade das pequenas e médias empresas é relacionada a custos, que podem ser menores com terceirização, enquanto a ineficiência do governo em consolidar a ANPD é ainda mais preocupante. “Para os negócios menores, adaptação representa aumento de custos. Mas, como têm dados de funcionários, clientes e fornecedores, é melhor estar preparado. Contratar um serviço terceirizado vai sair mais barato do que pagar multas”, diz.





Ineficiência

Com relação ao atraso na implementação da autoridade nacional, Cunha considera um atestado de ineficiência do governo. “Se ocorrer, o adiamento vai nos colocar numa condição de desorganização, com impacto na reputação do país. O sistema de proteção já roda na União Europeia”, lembra. “Independentemente da lei ser prorrogada ou dessa indefinição pública da estrutura do órgão regulador, as empresas precisam se movimentar”, alerta.

O especialista em compliance Pedro Henrique Costódio, sócio do FenelonCostódio Advocacia, critica a cultura do brasileiro, de deixar tudo para última hora. “Embora tenha prazo para entrar em vigor em agosto, a lei foi aprovada em 2018. O início da discussão, no entanto, começou só no fim do ano passado”, assinala. Para o setor privado, há um custo de implementação necessário, afirma. “Na área de consumo, há demanda por dados, para atingir um público-alvo. Sem proteção, é muito fácil obter esses dados na internet. As empresas vão ter de avaliar quais serão tratados, fazer uma análise de eventuais furos para protegê-los”, destaca.

“Não se trata só da questão do consumidor. Num cenário extremo, uma pessoa em relação extraconjugal e vai num hotel, se os dados vazarem é um grande problema. Envolve proteção da honra. No caso de hospitais com prontuários médicos que são sigilosos, também é preciso ter o tratamento devido para evitar discriminação”, exemplifica. As penalidades para quem descumprir a lei vão desde advertência até multas de 2% do faturamento bruto da empresa limitada R$ 50 milhões por infração. “Não vejo possibilidade de prorrogação, porque tivemos dois anos para a adequação”, opina.



Para saber mais

Casos recentes revelaram a vulnerabilidade da segurança de sistemas digitais de grandes instituições, que precisariam dar mais explicações se a Lei Geral de Proteção de Dados já estivesse em vigor. No mês passado, um especialista descobriu que o site da Caixa Econômica Federal permitia o vazamento do token de sessão de usuários. A vulnerabilidade nessa chave dava acesso às informações como CPF, nome completo, conta e extrato do Fundo de Garantia do Tempo de Serviço (FGTS) e endereço. Na ocasião, a Caixa informou em nota que o problema foi corrigido. Em novembro de 2019, uma falha no sistema da Unimed expôs 18 milhões de beneficiários do plano de saúde. A empresa, também em nota, disse que “investe em tecnologias que garantam a segurança das operações e a proteção dos dados” e se comprometeu a “investigar qualquer suspeita de vazamentos ou ataques cibernéticos”.  

Dúvidas até nas nuvens


Grandes provedores de serviços na nuvem também precisam se adaptar, sustenta Robson Andrade, diretor da Zadara, empresa de armazenamento com isolamento de dados. “Com relação às melhores práticas, fala-se de criptografia. Porém, a garantia tem de ser do cliente. Não adianta o datacenter ter a chave da criptografia, a chave tem de ser da empresa contratante. A lei diz isso claramente”, explica.

No caso de armazenamento na nuvem, os dados ficam todos no mesmo lugar. “Para assegurar a proteção, é necessário um isolamento físico dos dados. Para provar que o dado vazou, precisa ver onde ele está. Se está junto com outros, não dá nem para fazer perícia”, justifica.

Por conta dessa complexidade, Andrade estima que quase 80% das empresas, incluindo as grandes, que detêm dados mais sensíveis, ainda não se movimentaram para se adequar à lei. “Se for olhar no funil, quem gera dado não é a pequena empresa. São as administradoras de cartão de crédito, seguradoras, planos de saúde, bancos. Cerca de 50 grandes empresas detêm 30% do volume de dados do Brasil”, sustenta. O diretor diz, ainda, que o Brasil assinou um tratado com a União Europeia. “Se o prazo para vigorar for dilatado, o tratado é interrompido”, aponta.

A especialista em direito digital Isabela Pompilio explica que, para se adaptarem, as empresas têm no mercado a oferta de diversos softwares que garantem monitoramento e gestão dos dados, com base nas diretrizes da LGPD. “Os custos de implementação poderão variar a depender do porte da companhia, suas necessidades e cultura organizacional”, diz.

A lei também prevê a criação de um Comitê de Segurança dentro das empresas, bem como a designação de um Encarregado de Proteção de Dados, que seria a figura do chamado de Data Protection Officer (DPO) na GDPR (lei da UE). “O ideal é que esse profissional, que poderá ser terceirizado, tenha conhecimento jurídico, de segurança de informação e de governança, uma vez que será responsável por supervisionar a estratégia usada na preservação de dados e colocá-la em prática”, defende.

Segundo Isabela, não há determinação de prazo específico para o armazenamento dos dados pessoais, sensíveis ou não. “A ausência de fixação de prazo determinado se explica em razão das diversas finalidades que cada empresa pode emprestar aos dados que possui. O término do tratamento dos dados pessoais ocorrerá principalmente quando for verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada”, explica.

A advogada explica, ainda, que, caso as empresas forem vítimas de hackers, poderão se defender em procedimento administrativo, com ampla defesa. 

A Presidência da República, responsável pela criação da Autoridade Nacional de Proteção de Dados, transfere a competência sobre o tema para a Casa Civil. Procurada, a pasta, no entanto, não respondeu até o fechamento desta edição. 

Os comentários não representam a opinião do jornal e são de responsabilidade do autor. As mensagens estão sujeitas a moderação prévia antes da publicação

Publicidade