Empresas brasileiras não estão prontas para LGPD
Consultoria prevê que menos de 30% das companhias nacionais estarão prontas quando lei entrar em vigor, no ano que vem
A consultoria Gartner fez uma previsão preocupante para o mercado brasileiro. Segundo a multinacional, menos de 30% das organizações do País sujeitas à Lei Geral de Proteção de Dados Pessoais (LGPD) estarão prontas para atender todos os requisitos da legislação quando ela entrar em vigor, em agosto de 2020.
Sancionada em 2018 pelo ex-presidente Michel Temer, a LGPD é inspirada na lei europeia sobre o assunto e vale tanto para instituições públicas quanto privadas, regulando a utilização de dados pessoais por parte das organizações. Basicamente, a legislação estabelece que todos os dados armazenados – como RG, CPF, idade, nome, sexo de uma pessoa – precisam de uma finalidade clara, relacionada ao propósito da empresa, e só podem ser guardados enquanto forem necessários para a companhia.
Quem não cumprir a lei estará sujeito a uma multa de até 2% do seu faturamento, contanto que não ultrapasse o teto de R$ 50 milhões.
Apesar de as punições serem pesadas, tudo indica que a maioria das empresas brasileiras não têm se preparado adequadamente para as mudanças. O mesmo Gartner revela que 73% das companhias entrevistadas ainda não têm um diretor ou liderança voltados especificamente para a proteção de dados, enquanto 10% criaram o cargo em uma função existente dentro da área de TI (tecnologia da informação) e 17% alocaram esse profissional fora de TI.
Na Europa, a LGPD local (GDPR, na sigla em inglês) define que as instituições que processam grande quantidade de dados precisam de um DPO (data protection officer, ou oficial de proteção de dados, em tradução livre), responsável por garantir o cumprimento da lei. No Brasil, a legislação cria a figura do Encarregado de Proteção de Dados (EPD), mas ainda não definiu quais organizações serão obrigadas a contratar esse profissional.
Na opinião do vice-presidente de Pesquisa do Gartner, Bart Willemsen, as empresas erram ao colocar o DPO preferencialmente abaixo do executivo de TI (CIO). “Acredito que o responsável pelos dados deveria responder diretamente ao CEO e ao corpo de diretores”, analisa. “A LGPD afeta toda a organização. Embora os CIOs tenham um papel de liderança na orientação de suas organizações para armazenamento de dados em locais mais seguros, a privacidade deve ser um esforço de toda a empresa.”
O equívoco apontado por Willemsen é comum no mercado global. Levantamento do Gartner mostra que em 39% das companhias com o cargo de DPO, o executivo de dados responde ao CIO, enquanto em 23% ele se reporta ao CISO (chief information security officer, ou diretor de segurança da informação, em tradução livre). Apenas em 21% das empresas entrevistadas o DPO está diretamente na alçada de CEO, presidente e diretores – completam a lista as áreas de Gerenciamento de Riscos Corporativos (6%), Jurídico (4%), Diretoria de Compliance (3%), Linha de Gestão de Negócios (2%), Recursos Humanos (1%) e outros (1%).
Mudança de visão
A pesquisa da consultoria também mostra como o mercado mundial encara a questão da privacidade. Ao contrário do que muitos podem imaginar, o impacto financeiro causado por problemas nessa área não é o único fator que preocupa o meio corporativo.
Para 45% das companhias entrevistadas, o medo de perder clientes é citado como um dos fatores de risco, enquanto 44% se preocupam com possíveis danos à reputação. Por outro lado, 46% temem sofrer impactos financeiros com eventuais violações de dados e 38% citam a possibilidade de serem multados por descumprir a legislação (neste caso, as instituições podiam dar mais de uma resposta no questionário).
“Isso mostra que as organizações têm passado a encarar a privacidade como um valor a ser perseguido, fundamental para a credibilidade do negócio”, afirma Bart Willemsen. “É um processo similar ao que ocorreu em temas como meio ambiente e direito dos animais.”