Empresas ainda enfrentam dificuldades para se adequarem à LGPD

Fabrício da Mota Alves, head de Direito Digital, Privacidade e Proteção de dados do Serur Advogados

A lei passará a ser cobrada a partir de agosto, mas as empresas ainda travam em pontos como monitoramento, coleta de dados e atendimento aos titulares. A ABNT, em parceria com o Observatório de Políticas Setoriais (OPS!), o Serur Advogados e a Alvarez & Marsal elaboraram um programa de certificação, que segue os princípios da ISO  

A partir de agosto, a Lei Geral de Proteção de Dados Pessoais (LGPD) passará a contar com uma atuação mais incisiva da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por implementar, monitorar, fiscalizar e punir as empresas que não cumprirem com as normas de proteção de dados pessoais. As punições incluem simples advertências até multas que chegam a R$ 50 milhões por infração, além de suspensão parcial do funcionamento do banco de dados ou a proibição definitiva de atividades relacionadas ao tratamento de dados pessoais.

Mesmo diante de duras penalidades, muitas empresas ainda não se adequaram às regras e mesmo aquelas que já iniciaram o processo enfrentam uma série de desafios para isso. Entre os principais problemas, está a localização de informações pessoais que devem estar em banco de dados e precisam ter a devida proteção. Outro ponto de atenção é o monitoramento das práticas de terceiros com os quais são compartilhados os dados, assim como a verificação da identidade do titular dos dados nas solicitações de petições previstas em lei.

Além disso, as empresas têm sofrido para minimizar a coleta de dados que solicita aos clientes, prática essa que é uma mudança de mindset e cultura na coleta das informações. A LGPD prevê que só é permitido pedir os dados necessários para aquela atividade pontual, eliminando uma série de coleta de informações que antes recheavam os bancos de dados das companhias.

O quinto maior desafio se refere ao desenvolvimento de uma ferramenta de opt-out centralizada e fácil de usar. Na prática, significa que um simples e-mail marketing tem que oferecer a possibilidade a quem o recebe de bloqueá-lo e, assim, impedir qualquer contato daquela base de dados. Por fim, outro ponto de grande consternação ao mercado tem sido o atendimento do titular, desde solicitações de acesso, até mesmo requerimentos mais elaborados, como o apagamento ou a retificação do dado pessoal.

“Muitas empresas ainda pensam que a lei é só mais uma regulamentação burocrática e que não terá consequências se descumprida ou desprezada. É um grande erro pensar dessa forma. Para evitar prejuízos tanto reputacionais, como patrimoniais, é recomendado que a empresa esteja em conformidade com todas as regras da legislação”, alerta Fabrício da Mota Alves, Head de Direito Digital, Privacidade e Proteção de dados do Serur Advogados.

Paulo Baldin, gerente sênior da consultoria Alvarez & Marsal, alerta também para a necessidade de mudança cultural na organização. “Realizar apenas a execução técnica e não mudar a cultura organizacional em relação à LGPD é outro equívoco. Se a mudança não for profunda, em que toda a companhia pense dentro do que determina a lei, os problemas serão frequentes”, afirma ele.

Os principais erros da implementação

Embora a LGPD já esteja em vigor, pelo menos 60% das empresas do mercado brasileiro estão longe de atender aos requisitos legais impostos, segundo pesquisa da Alvarez & Marsal com cerca de 200 empresas de diferentes portes e segmentos. Entre os principais erros estão ainda, a implementação dos requisitos da LGPD somente nos “principais” departamentos da organização, a falta de investimento em gestão de identidades para definição de acessos às informações, ao nível dos acessos e a ausência de definição do responsável pelos dados e até mesmo com a realização de um diagnóstico sem mapeamento dos processos de negócio que utilizam dados pessoais.

Os erros mais comuns:

  • Achar que a lei é só mais uma regulamentação e não terá consequências se descumprida
  • Realizar apenas a execução técnica e não mudar a cultura organizacional em relação à LGPD
  • Implementar os requisitos da LGPD somente nos principais departamentos da organização ou apenas a realização de um diagnóstico simples
  • Não investir em Gestão de Identidades, para definição de acessos as informações e ao nível dos acessos
  • Escolher mal ou até mesmo não apontar o encarregado de proteção de dados;
  • Contratar uma consultoria sem entender exatamente o que poderá ser entregue
  • Coleta de dados desnecessários
  • Gestão de solicitações do titular dos dados
  • Não definir um plano de resposta de incidentes de segurança da informação
  • Deixar de avaliar o prazo de retenção dos dados pessoais.

Programa de certificação

Para ajudar as empresas a se enquadrarem nos processos, a ABNT, em parceria com o Observatório de Políticas Setoriais (OPS!), o Serur Advogados e a Alvarez & Marsal elaboraram um programa de certificação, que segue os princípios da ISO (International Organization for Standardization) e fornece os subsídios necessários ao cumprimento da legislação de forma segura. A certificação é uma importante aliada para reforçar a credibilidade das empresas.

O procedimento conta com uma minuciosa análise dos auditores da ABNT, que depois de verificarem se os requisitos estão de acordo, fornecem a certificação, que garante um diferencial estratégico de mercado. Além disso, para que a certificação seja mantida, é exigida a realização de auditorias de manutenção a cada 12 meses. A organização interessada na certificação deverá entrar em contato pelo e-mail pesquisalgpd@alvarezandmarsal.com, e receberá os documentos necessários para dar início ao processo.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *