Data: 20/08/2021
Veículo: CNN
As empresas não estão conseguindo se adequar às novas exigências relacionadas à Lei Geral de Proteção de Dados (LGPD), segundo pesquisa realizada pela RD Station, empresa de tecnologia e marketing digital.
Segundo o levantamento, 93% das quase mil empresas que participaram do estudo dizem conhecer ou pelo menos já ter ouvido falar da LGPD, mas apenas 15% se mostram prontas ou na reta final de preparação, mesmo a lei já prevendo sanções desde o dia 1º de agosto. As multas podem chegar a 2% da receita da empresa até o limite de R$ 50 milhões para companhias que não definirem protocolos claros para a proteção dos dados pessoais de consumidores e colaboradores.
Mais de dois terços das empresas ainda não implementaram nem mesmo a primeira etapa, que é a criação de políticas de proteção de dados, aquela que deve ser incluída nos sites das companhias para explicar como as informações dos usuários são capturadas e qual uso desses dados, entre outras questões básicas exigidas pela lei.
Outro problema que pode incidir em sanções administrativas e multas é a ausência dentro da empresa de um profissional chamado de Data Protection Officer (DPO), que tem entre uma de suas funções ser o ponto de contato entre a companhia e a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da lei. Toda empresa, independentemente do tamanho, deve nomear um profissional como essa função.
Eduardo Magrani, sócio de Privacidade, Tecnologia e Cibersegurança do escritório Demarest, explica que, além de conversar com a autoridade nacional, o DPO fica responsável por receber solicitações dos donos das informações coletadas pela empresa, respondendo pedidos de acesso aos dados pelos titulares e de eventuais retificações.
Magrani destaca que o DPO também terá o papel de falar sobre a governança de dados pessoais dentro da empresa ou órgão público e deve ter autonomia em relação aos gestores das áreas que armazenam, utilizam e tratam dados.
“Ele tem uma posição de independência, funcionando como ombudsman da empresa, com liberdade para falar qual deve ser o regime adequado de captação ou tratamento de dados, sem que tenha poder decisório sobre isso. Os relatórios produzidos pelo DPO devem ser levados ao nível máximo da empresa”, diz o advogado.
Dados pessoais
Outro dado apontado pela pesquisa da RD Station é que 22% das empresas não inseriu nenhuma medida de segurança referente às informações pessoais que armazena, sejam colaboradores, parceiros ou clientes. Magrani destaca que, por vezes, as empresas não tomam esse cuidado pela dificuldade que possuem de identificar o que são dados pessoais protegidos pela lei.
O conceito é bem amplo, explica o especialista. “Qualquer dado que venha a identificar uma pessoa diretamente ou que viabilize a identificação já entra no conceito de dados pessoais. Essa é uma preocupação que as empresas devem ter, porque, às vezes, lidam com informações que nem sabem que remetem a dados pessoais.”
Além de dados mais óbvios, como nome, endereço, documentos de identificação, também imagens capturadas por câmeras de segurança ou dados biométricos recolhidos em portarias e demais locais de acesso são abrangidos pela LGPD.
As informações biométricas entram também na classificação de dados sensíveis junto com dados relacionados à religiosidade e vida íntima e sexual. Se vazadas, essas informações podem trazer multas mais pesadas. “Além do tipo de dado vazado, o que pode impactar o tamanho da sanção é a postura da empresa, se ela foi negligente ou não”, afirma.
