Há atrasos por parte da maioria das empresas nos projetos de compliance com a LGPD, além de lacunas na aplicação da lei que ainda não foram esclarecidas pelo governo
Rosangela Carmanini (*)
No dia 28 de janeiro é celebrado o Dia Internacional da Proteção de Dados. Analisando a Lei Geral de Proteção de Dados (LGPD), em vigor há menos de seis meses, como o Brasil está no quesito privacidade?
Em pesquisa recém-divulgada envolvendo 296 empresas, de portes e segmentos diversos, constatou-se que 82% das respondentes ainda estão com um nível de adequação em relação à nova Lei muito aquém do ideal. O levantamento considerou 13 tópicos relacionados à proteção de dados pessoais, entre eles o tratamento dessas informações por terceiros e a existência de políticas e normativas.
Os resultados mostram que as organizações ainda têm muito trabalho para realizar, destacando alguns pontos principais como:
1) A identificação e o inventário de atividades;
2) A avaliação de maturidade;
3) A correção de gaps;
4) O monitoramento de processos e indicadores para atestar a conformidade com a LGPD;
5) A definição do responsável ou responsáveis pelo monitoramento de indicadores, adequação de infraestrutura e processos, bem como a realização das interfaces internas e com os órgãos reguladores;
6) As adequações referentes à segurança da informação;
7) A conscientização de colaboradores.
Por um lado, empresas ainda atrasadas com suas obrigações. E pelo outro, da Autoridade Nacional de Proteção de Dados (ANPD), a existência de várias lacunas, tais como a falta de determinação do que seria considerado um “prazo razoável” para a comunicação de incidentes, a elaboração das diretrizes para a Política Nacional de Proteção da Dados e da Privacidade, assim como a definição dos procedimentos de recebimento, de reclamações ou denúncias, de fiscalização e de aplicação de sanções.
Aplicação de penalidades
É esperado que tais questões sejam sanadas o mais rápido possível por meio de determinações mais detalhadas vindas da ANPD, cuja estrutura e cargos foram definidas apenas em novembro de 2020. No entanto, mesmo que o órgão ainda não possa aplicar sanções – permitidas a partir de agosto de 2021, com a Lei em vigência -, não há impedimento para que as empresas sofram penalidades ao infringir os direitos dos titulares, pois essas multas podem e estão sendo aplicadas por outros órgãos reguladores, como o Ministério Público e o Procon, por exemplo.
Porém, mesmo que nem todas as regras do jogo ainda estejam esclarecidas, o pontapé inicial já deveria ter sido dado pelas empresas, pois a jornada da adequação é cheia de fases e, por isso, é impossível concluí-la de um dia para o outro. Aliás, trata-se de um processo contínuo, pois as organizações são dinâmicas e cada mudança deve ser cuidadosamente analisada para que esteja em compliance com a privacidade de dados.
Uma das poucas certezas neste momento é que, apesar de terem-se passado dois anos desde a publicação da LGPD, a maioria das empresas ainda está muito longe da maturidade ideal quando se trata de privacidade e, com isso, está colocando em risco não apenas seu caixa, mas também sua reputação. Independentemente do cenário econômico em que estamos, com crise pandêmica ou sem, a Lei está aí e vale para todos. Hora de correr!
(*) Consultora sênior de Data Privacy da ICTS Protiviti