Facebook
Google
Twitter
Mais de dois anos após a sanção da LGPD (Lei Geral de Proteção de Dados), empresas que ainda resistiam em se adequar às novas normas de privacidade correram para pedir ajuda a consultorias e escritórios de advocacia nos últimos dias.
No final do mês passado, o Senado derrubou trecho de uma medida provisória aprovado pela Câmara, que postergava a norma para 2021. Seria o terceiro adiamento em dois anos. O texto precisa ser sancionado pelo presidente Jair Bolsonaro e a lei deve entrar em vigor ainda em setembro - apesar da possibilidade de algum recurso ao plenário do Congresso, cenário considerado remoto por envolvidos no debate.
Aplicada ao setor da logística, a conformidade à LGPD exigirá adaptações que não dependerão apenas da empresa, mas também das companhias parceiras. "Há pontos sensíveis. O primeiro deles é o de Recursos Humanos, com empregados diretos e indiretos lidando com dados próprios e de terceiros", destaca Henrique Fabretti Moraes, responsável pelas áreas de Proteção de Dados e Serviços para DPO no Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.
O especialista alerta para a importância de planejar como atender a eventuais requisições dos titulares de dados. Por exemplo, a checagem de histórico de prestadores ou checagem de antecedentes, que é uma prática comum na contratação de caminhoneiros, envolve uma avaliação de uma série de informações sobre aquele profissional. "Este é um ponto de tratamento intenso de dados coletados em fontes diversas e isso é um risco adicional, o que deve ser olhado com bastante atenção para garantir que não seja um ponto de vulnerabilidade para as empresas", aponta.
O advogado menciona também situações de operadores logísticos envolvidos com o last mile (do inglês última milha, significa o último processo na etapa de entrega de uma encomenda), quando inúmeros dados do consumidor são recebidos. "Os clientes de vocês exigirão métodos de proteção desses dados e adequação à LGPD. Isso será cada vez mais frequente", alerta Moraes.
Rony Vainzof, sócio do Opice Blum, acrescenta que as empresas devem estar atentas à definição das funções frente ao tratamento de dados. "A LGPD traz uma carga maior de obrigações junto a quem é controlador de dados e, muitas vezes, e isso é obviamente uma relação dinâmica, na operacionalização dos dados vocês estarão na posição de operador. O ponto de partida é crucial e deve ser essa avaliação. Outro ponto é o compartilhamento de dados. São nuances que devemos ter sempre em mente", comenta.
O diretor presidente e CEO da Abol (Associação Brasileira de Operadores Logísticos), Cesar Meireles, diz que a LGPD vem para definir também um valor competitivo entre as empresas que operam na logística, sempre atentas às regulamentações de mercado".
Grandes consultorias que oferecem serviços de compliance relatam que quem estava na dúvida sobre fechar contrato para obter auxílio na adequação à lei passou a fazê-lo desde a decisão do Senado. A percepção geral, também nos escritórios de advocacia, é de que mesmo as empresas mais maduras no processo de adequação recém iniciaram a jornada. Das companhias que se propõem a discutir o tema, só 38% afirmam estar em conformidade com a lei, segundo diagnóstico da Ernst & Young feito em parceria com a Associação Brasileira das Empresas de Software, que ouviu 2.000 organizações em março.
A perspectiva é até otimista se comparada com alguns levantamentos da Europa, que indicavam que na estreia da lei de privacidade por lá, em 2018, 60% das empresas não estavam prontas. "O grau de conformidade e de maturidade é muito baixo no Brasil. A lei é de 2018. Nem dois anos ou o dobro de tempo é suficiente para quem que não colocar a privacidade como prioridade", diz Marcos Semola, sócio da Ernst & Young para cibersegurança, que ajudou a adequar cerca de 50 empresas.
LGPD traz mudanças, mas falta de órgão fiscalizador preocupa
Entre as pequenas empresas, a maior dificuldade é direcionar recursos para a adaptação
KJPARGETER - FREEPIK.COM/DIVULGAÇÃO/JC
O Brasil nunca contou com uma regulação robusta de privacidade como a Europa, que segue diretrizes para o tema desde a década de 1980. Além disso, o País também entra nessa fase sem a ANPD (Autoridade Nacional de Proteção de Dados) formada. O órgão é um elemento central para orientar e supervisionar a atuação de entes públicos e privados.
A autoridade foi institucionalizada no dia 26 de agosto, mas ainda depende de indicações do presidente Jair Bolsonaro, que escolherá cinco nomes para a direção. Essa definição vinda diretamente do Executivo preocupa a sociedade civil e lideranças empresariais, que defendem a formação de um corpo 100% técnico para a função, não político.
As multas que serão impostas pela ANPD em casos de descumprimento da lei ficaram para agosto de 2021. As empresas, entretanto, devem se preparar para receber solicitações e serem alvo de ações judiciais de outras autoridades, como de proteção ao consumidor. De forma prática, podem considerar possíveis enxurradas de Procons.
Do lado dos usuários, os principais direitos que começam a valer são relacionados ao acesso a informações. A lei coloca o cidadão na figura de titular de seus dados pessoais. Será possível, por exemplo, não só perguntar a uma empresa que dados ela armazena e como, mas pedir uma cópia dos mesmos. Em algumas situações, o cidadão poderá solicitar que dados sejam eliminados (como nome, telefone, endereço ou um dado adquirido de forma não consentida).
Se uma pessoa se sentir lesada por sistemas automatizados, como uma exclusão de um processo seletivo feito por robô ou mesmo condições de crédito diferenciadas sem explicação, terá garantia legal para obter uma resposta da empresa. Uma farmácia, por exemplo, terá que responder por que quer seu CPF e se compartilha seu histórico de compra de remédios.
Entre as maiores consultorias, a Deloitte já prestou serviço a cerca de 60 empresas. Ela resume algumas etapas de planejamento comuns a companhias de todas os setores: mapear os dados, o fluxo e o tratamento conferido a eles; buscar uma base jurídica para proteger a organização; adequar os processos à lei; e organizar a governança interna para o tema, o que inclui definir um DPO (sigla de data protection officer, o encarregado de proteção de dados).
"A empresa tem que ter muito claro o propósito da coleta de dados, para qual finalidade serve, como armazena e de que forma os usa", diz Marcelo Farias, sócio da área de cyber risk da Deloitte.
Entre as pequenas empresas, a maior dificuldade agora é direcionar recursos para a adaptação. O contexto é agravado pela ausência da autoridade, que possivelmente dará tratamento diferenciado a depender do porte da organização. Uma startup não será tratada como um gigante de redes sociais.
O mercado está precificando de modo muito aleatório a adaptação à LGPD, até porque cada empresa está em uma etapa diferente. Há quem precise alterar toda a área de tecnologia para manter os dados seguros, comprar licenças de softwares porque usa sistemas inseguros e contratar e treinar profissionais de diferentes áreas.
Há casos de grandes companhias, como bancos e de telecomunicação, que já chegaram a desembolsar mais de R$ 40 milhões para renovar todos os processos. Um grande projeto de prestação de serviço, que envolva toda a avaliação de processos internos com dados, dificilmente começa por menos de R$ 500 mil a uma empresa de grande porte, de acordo com consultorias do mercado.
O setor público, que também é regido pela lei e têm que garantir a proteção de dados de mais de 200 entidades federais ligadas aos 22 ministérios, também tem buscado soluções de mercado que ofereçam ajuda do início ao fim do processo. Alguns órgãos já indicaram seus DPOs, os encarregados a ter a interlocução com a ANPD.
"Nao existe uma certificação que diz que você é CEO, então é uma função, o mesmo vale para o DPO", diz Renato Leite Monteiro, diretor do Data Privacy Brasil, uma das primeiras escolas que passou a oferecer cursos de privacidade e de proteção de dados.
Entre os padrões elevados de multinacionais que transacionam dados entre diferentes países, esse cargo pode chegar a US$ 100 mil ao ano, segundo a IAPP, principal certificadora desse tipo de profissional mundo. É claro que uma padaria de bairro não designará um funcionário para isso.
Um DPO não necessariamente precisa ser da área jurídica, pode ser de segurança da informação ou de outra disciplina. Sua principal incumbência é manter independência da empresa e conhecer todos os processos da corporação, para funcionar como um bom porta-voz aos consumidores ou reguladores. "É como um ombudsman, mas dos dados", diz Monteiro.
A lei de proteção de dados serve para os ambientes online e offline. Informações sensíveis, como posição política, opção religiosa e vida sexual receberão tratamento mais rigoroso.
O que diz a lei sobre direitos e deveres
A LGDP disciplina os direitos dos indivíduos relativos a suas informações pessoais e de que maneira empresas e entes públicos podem coletar e tratar esses registros. Assim, o início da vigência da norma implica que as pessoas terão novas garantias sobre as diversas práticas de tentativa de obtenção de seus dados, tão comuns hoje em dia.
Cidadãos
No caso dos cidadãos, a mudança é a previsão dos direitos instituídos na lei. Para além do consentimento, os indivíduos passam a poder pedir informações sobre a guarda e manejo de seus registros, bem como a correção destes ou até mesmo a revogação da autorização.
Um dos desafios é a criação de uma cultura de proteção de dados, com os cidadãos conhecendo o que podem fazer e recorrendo aos órgãos competentes para denunciar abusos e fazer valer seus direitos.
Empresas
Já as empresas terão mais responsabilidades, como obter consentimento do titular, dar transparência às suas práticas de tratamento e assegurar níveis de segurança da informação para evitar vazamentos.
Grandes companhias são as mais preparadas para atender às exigências, revela pesquisa realizada pela SerasaExperian
Segundo pesquisa da SerasaExperian, 86% das grandes empresas afirmaram estar muito preparadas para garantir os direitos e deveres em relação ao tratamento de dados pessoais exigidos pela Lei de Proteção de Dados Pessoais (LGPD). Em segundo lugar estão as companhias de médio porte, com percentual de alto nível de preparo em 80%.
"Era esperado que as companhias de médio e grande porte estivessem mais preparadas, por terem estruturas tecnológicas mais robustas e utilizarem mais dados na tomada de decisão. Estas empresas também já estavam atentas às questões de proteção dos dados pessoais.
Pela complexidade interna, mais áreas e funcionários para treinar, elas se mobilizaram antes e agora terão tempo para ajustes finais e treinamento de seus profissionais", diz a Data Protection Officer (DPO) e Diretora Jurídica da Serasa Experian, Vanessa Butalla. DPO é o guardião da conformidade com a proteção de dados, é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) - ainda a ser instituída.
Quando analisada a preparação por setor, a área de Tecnologia lidera o ranking, com 93% e na sequência aparece o segmento de Bancos, Financeiras, Seguradoras e Corretoras, com 84%. "A pesquisa comprova a relevância do dado nas grandes organizações, que já ocupa papel de destaque no desenvolvimento das estratégias de negócio. São segmentos que utilizam dados e tecnologia no seu core business, transacionando milhares de informações, por isso naturalmente estão na frente", explica a DPO da Serasa Experian.
O levantamento indicou, ainda, que o tamanho também impacta a percepção dos desafios que a implantação da LGPD trará. Enquanto entre as grandes, médias e pequenas empresas, o principal desafio é o treinamento da equipe para entendimento da lei: 41%, 49% e 42%, respectivamente; para as microempresas a maior preocupação está em identificar a melhor tecnologia a ser aplicada ou as correções que se fazem necessárias, 30%.