*Por Rosangela Carmanini
Acabamos de comemorar o Dia Internacional da Proteção de Dados, em 28 de janeiro. Analisando a Lei Geral de Proteção de Dados (LGPD), em vigor há menos de seis meses, como o Brasil está no quesito privacidade?
Em pesquisa recém divulgada envolvendo 296 empresas, de portes e segmentos diversos, constatou-se que 82% das respondentes ainda estão com um nível de adequação em relação à nova Lei muito aquém do ideal. O levantamento considerou 13 tópicos relacionados à proteção de dados pessoais, entre eles o tratamento dessas informações por terceiros e a existência de políticas e normativas.
Os resultados mostram que as organizações ainda têm muito trabalho para realizar, destacando alguns pontos principais como:
1. A identificação e o inventário de atividades;
2. A avaliação de maturidade;
3. A correção de gaps;
4. O monitoramento de processos e indicadores para atestar a conformidade com a LGPD;
5. A definição do responsável ou responsáveis pelo monitoramento de indicadores, adequação de infraestrutura e processos, bem como a realização das interfaces internas e com os órgãos reguladores;
6. As adequações referentes à segurança da informação;
7. A conscientização de colaboradores.
Por um lado, empresas ainda atrasadas com suas obrigações. E pelo outro, da Autoridade Nacional de Proteção de Dados (ANPD), a existência de várias lacunas tais como a falta a determinação do que seria considerado um “prazo razoável” para a comunicação de incidentes, a elaboração das diretrizes para a Política Nacional de Proteção da Dados e da Privacidade, assim como a definição dos procedimentos de recebimento, de reclamações ou denúncias, de fiscalização e de aplicação de sanções.
É esperado que tais questões sejam sanadas o mais rápido possível por meio de determinações mais detalhadas vindas da ANPD, cuja estrutura e cargos foram definidas apenas em novembro de 2020. No entanto, mesmo que o órgão ainda não possa aplicar sanções – permitidas a partir de agosto de 2021, com a Lei em vigência, não há impedimento para que as empresas sofram penalidades ao infringir os direitos dos titulares, pois essas multas podem e estão sendo aplicadas por outros órgãos reguladores, como o Ministério Público e o Procon, por exemplo.
Porém, mesmo que nem todas as regras do jogo estejam esclarecidas, o pontapé inicial já deveria ter sido dado pelas empresas, pois a jornada da adequação é cheia de fases e, por isso, é impossível concluí-la de um dia para o outro. Aliás, trata-se de um processo contínuo, pois as organizações são dinâmicas e cada mudança deve ser cuidadosamente analisada para que esteja em compliance com a privacidade de dados.
Uma das poucas certezas neste momento é que a maioria das empresas ainda está muito longe da maturidade ideal quando se trata de privacidade e, com isso, está colocando em risco não apenas seu caixa, mas também sua reputação. Independente do cenário econômico que estamos, com crise pandêmica ou sem, a Lei está aí e vale para todos. Hora de correr!
*Rosangela Carmanini é consultora sênior de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.