Seminário sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) reuniu especialistas para debater desafios e oportunidades para as empresas.
A Lei Geral de Proteção de Dados Pessoais (LGPD) dificilmente deixará de ser pauta nas empresas brasileiras em 2020. Recentemente, o deputado Carlos Gomes Bezerra (MDB/MT) criou um Projeto de Lei 5762/19 para prorrogar a data em que a lei entra em vigor. Caso seja aprovado, a LGPD passará a valer em agosto de 2022 e não mais em 2020, como a proposta inicial.
Mas prorrogar a data vai garantir mais tempo para as empresas se adequarem? Embora o cenário seja de incerteza — ainda mais com o atraso na formação da Autoridade Nacional de Proteção de Dados (ANPD) —, muitas empresas não querem correr riscos e já se adequam às exigências da lei.
Essa antecipação à LGPD foi destaque no seminário “Lei Geral de Proteção de Dados (LGPD)”, organizado pelo jornal Valor Econômico no dia 26 de novembro em São Paulo, com patrocínio da Embratel. O encontro reuniu diversos especialistas no assunto para debater o futuro da privacidade dos dados, entre eles Yanis Stoyannis, gerente de consultoria e inovação de cybersecurity da Embratel.
As principais mensagens dos especialistas que estiveram presentes no evento (veja no fim do texto a íntegra) foram:
- A LGPD não será um freio para o crescimento das empresas.
- A legislação vem para trazer segurança jurídica e aumentar a confiança do Brasil no cenário internacional.
- A criação da Autoridade Nacional de Proteção de Dados deve ser encarada como prioridade (e não uma suposta prorrogação da vigência da lei).
LGPD: caminho para inovação
Para iniciar a discussão do dia e explicar como a LGPD pode ser uma ferramenta de inovação para empresas de todos os portes e gerar um diferencial competitivo, Marcos Sêmola, sócio de cybersecurity da EY, empresa britânica de auditoria e consultoria, defendeu que as companhias vão ter dois possíveis caminhos para seguir.
- Caminho A: em que há incredulidade com a legislação e uma posição passiva das empresas. “Elas vão esperar para ver o que a lei vai gerar no cotidiano. Esse caminho vai levar a uma relação de causa e efeito perigosa em que o despreparo dos funcionários no tratamento de dados pode gerar riscos como potenciais vazamentos, chantagem e denúncia. Isso culmina na destruição de valor e na quebra de confiança [do cliente com a empresa]”, explicou o especialista.
- Caminho B: é o caminho pelo qual grande parte das empresas optou, destacou Sêmola. “É a consciência de adotar boas práticas, de seguir bons exemplos de outros países no uso responsável da informação, de ter uma conduta transparente sobre a finalidade ou tratamento de dados. Não é sobre um projeto de software ou hardware, mas de estabelecer um processo de governança, de criar e construir uma nova cultura de dados pessoais. Na relação de causa e efeito, empresas que seguem este caminho constroem confiança e valor”, comentou Sêmola.
Independentemente do caminho escolhido, a LGPD veio para ficar, acreditam os especialistas. É uma oportunidade para as empresas criarem vantagem competitiva por garantir a transparência do tratamento de dados ao mesmo tempo que conseguem inovar seus negócios.
Como apontou Larissa Escobar, gerente sênior da área de cibersegurança da PwC, a inovação sempre vai existir e ela será apoiada pelo uso ético dos dados. “No varejo, por exemplo, as tecnologias para fomentar a venda de produtos e serviços são uma realidade. Mas o importante é que a loja possa oferecer produtos e serviços respeitando a questão do uso abusivo de dados”.
Quem concorda com a especialista é Andriei Gutierrez, diretor de assuntos regulatórios e governamentais da IBM Brasil. “A LGPD é um obstáculo para a inovação? Acho que não. É uma estrada que dá o norte para o uso sustentável e ético dos dados. É importante para que a sociedade saiba qual o caminho seguro para reduzir o conflito com consumidores e cidadãos”.
LGPD exige governança de dados efetiva
A LGPD prevê multas de 2% do faturamento da empresa com teto máximo de R$ 50 milhões. É um valor que faz toda a diferença no relatório fiscal de uma companhia. Mas a lei ainda vai trazer um impacto que muitos podem considerar maior que o financeiro: o reputacional.
Nenhuma empresa quer ver a reputação de marca cair, mas muitas companhias do Brasil e do mundo estiveram recentemente em evidência por conta das constantes notícias sobre vazamentos de dados de seus clientes. Os motivos para esses incidentes podem ser resumidos em humanos e tecnologia.
Quando olhamos os aspectos humanos, a falta de treinamento pode ser um fator de risco quanto à segurança da informação. “Não adianta a empresa ter os melhores sistemas e tecnologias se ninguém os conhece ou se não são respeitados”, pontuou Felipe Palhares, sócio da Palhares Advogados.
Para o especialista, o erro humano tem uma parte “obviamente muito clara em acidentes de violação ou de vazamento de dados”. “Quem aqui nunca mandou e-mail para uma pessoa errada?”, questionou. Por isso, Palhares afirma que as empresas devem promover treinamentos com os funcionários para eles entenderem a importância de políticas de segurança.
Já no campo tecnológico, empresas e consumidores dependem cada vez mais de uma complexidade maior de algoritmos e de tecnologias. “Daí nossa dificuldade em compreender essa evolução tecnológica”, disse Renato Ópice Blum, advogado e economista.
Essa dificuldade de compreensão com a tecnologia também traz outro risco, o digital, como afirmou Yanis Stoyannis, da Embratel. “A tecnologia está em todos os ramos e segmentos da sociedade, sendo cada vez mais adotada. É a expansão da internet, IoT, Inteligência Artificial, Machine Learning, entre outras. Mas quando a gente fala de tecnologia a gente fala de software”.
Ou seja, para Stoyannis, tecnologias são desenvolvidas a partir de programação e podem conter falhas e vulnerabilidades. “As vulnerabilidades podem estar na comunicação desses dados, na camada de aplicação onde são armazenadas as informações, no banco de dados, nos sistemas operativos que suportam essa tecnologia”, explicou o executivo da Embratel.
Por isso a governança de dados deve envolver esses dois aspectos: humano e tecnológico. As empresas precisam investir, educar e monitorar. Mas acima disso, é ter um DPO multidisciplinar, que tenha conhecimento jurídico e regulatório para liderar as áreas de uma empresa nessa jornada de conformidade que a LGPD exige.
Os desafios atuais das empresas com a LGPD
Com a LGPD a caminho, muitas empresas encontram uma barreira na hora de equilibrar a necessidade de investimento para estar em conformidade com as constantes ameaças de segurança aos negócios.
“A questão de orçamento é sempre delicada, principalmente num país que tem, na sua maioria, médias e pequenas empresas e não empresas com budgets ilimitados para fazer investimentos na área de segurança da informação”, comentou Felipe Palhares, sócio da Palhares Advogados.
Mas, segundo o advogado, as empresas devem, com a LGPD, trazer “algum tipo de adequação. Não só em relação a lei, mas de segurança interna que trate dos dados pessoais e corporativos. É preciso encontrar um meio-termo entre investimentos em tecnologias e em treinamento e monitoramento”, disse.
Já Yanis Stoyannis, da Embratel, sugere que a empresa se questione: “quanto custa uma violação de dados e quanto custa investir na adequação?”. Para companhias que não possuem um grande orçamento, o executivo cita a contratação de serviços gerenciados de segurança. “São empresas com profissionais que atuam no regime 24 por 7, que conhecem as tecnologias que podem deixar o negócio seguro, livre de ataques, invasões e vazamentos”.
Segundo o executivo da Embratel, quando você automatiza a segurança da informação, o valor do custo de um vazamento de dados — hoje previsto em R$ 5 milhões — cai pela metade. “Isso acontece porque você tem uma agilidade para identificar aquele problema, saber onde está tendo o vazamento, como conter aquilo e também notificar de forma precisa os seus clientes e a [futura] Autoridade Nacional. Significa mostrar para o mercado que você está efetivamente trazendo transparência e tratando os dados da melhor maneira possível”, explicou.
Para as empresas que possuem um time de DPOs é “pegar esse time, fazer uma reunião e perguntar ‘o que vocês me recomendam para equalizar esse custo e benefício por necessidade e possibilidade?’. Com isso, todos podem fazer um brainstorm para entender qual investimento é possível de ser feito na empresa”, disse Renato Ópice Blum, advogado e economista.
Urgência na criação da ANPD
A ANPD é o órgão público responsável por acompanhar e aplicar as sanções previstas na lei e também por regular e interpretar alguns pontos da LGPD. A Medida Provisória que criou a agência reguladora estipulou que o início de suas atividades se daria em 28 de dezembro de 2019. Mas, por enquanto, a ANPD só existe no papel.
Para Patrícia Peck Garrido Pinheiro, sócia da PG Advogados, a pressão deveria ser pela definição dessa agência e na prorrogação da entrada em vigor da LGPD. “Estaríamos prorrogando uma agenda, um compromisso público e privado, com transparência, segurança e com direitos humanos”, defende a advogada. “A Autoridade tinha que ser instituída em seguida a promulgação da lei. A autoridade está sim dois anos atrasada, porque cabia a ela responder as dúvidas de mercado e fazer as campanhas educativas.”
Principais destaques desta matéria:
- LGPD entra em vigor no próximo ano e empresas já se adiantam para estar em conformidade;
- Mas se adequar à lei tem trazido alguns desafios para as empresas;
- Evento reuniu time de especialistas para debater as oportunidades em inovação e os desafios que empresas terão com a LGPD.
