Estudo aponta que 40 % das empresas não estão preparadas para a entrada em vigor das penalidades previstas pela LGPD
Nível de compreensão e envolvimento dos conselhos e a forma como essas empresas têm enfrentado o desafio da proteção dos dados pessoais também são apresentados
Pesquisa realizada pela Fundação Dom Cabral (FDC) revela dados inéditos sobre a relação de empresas brasileiras dotadas de conselho de administração ou consultivo com a Lei Geral de Proteção de Dados Pessoais (LGPD). Com a entrada em vigor das multas previstas pela LGPD, quase 40% das 207 empresas entrevistadas reconhecem que não estarão plenamente adequadas à legislação em 1º de agosto de 2021.
“A LGPD nas empresas dotadas de conselho de administração e conselho consultivo”, é um estudo idealizado e liderado pelos professores Dalton Sardenberg, doutor em Governança Corporativa, e Fernando Santiago, doutor em Direito e membro do Conselho Nacional de Proteção de Dados Pessoais (CNPD). Realizado no primeiro semestre de 2021, o estudo traz também o nível de compreensão e envolvimento dos conselhos com o tema e a forma como essas empresas têm enfrentado o grande desafio corporativo da proteção dos dados pessoais.
Envolvimento dos conselhos
Os conselhos de 86% das empresas afirmam ter conhecimento da LGPD e do seu impacto nos negócios, mas apenas 46% se reconhecem como principais impulsionadores de sua implementação. “Os conselheiros devem sempre estar atentos quanto a sua responsabilidade em estabelecer políticas e garantir que as organizações que administram estejam em conformidade com as novas legislações que as impactam, como é o caso da LGPD. Essa é uma tarefa indelegável”, afirma o professor Dalton Sardenberg.
Embora uma parcela significativa das empresas não esteja preparada para a entrada em vigor das penalidades trazidas pela LGPD, 82% delas consideram que a adequação à LGPD é total ou parcialmente uma das principais prioridades para 2021.
Além disso, 61% consideram que a LGPD traz valor para as empresas e não a veem como mais um obstáculo burocrático criado pelos legisladores. “Um lugar comum em diversos fóruns de discussão é a presunção de que o empresariado não vê valor na LGPD e que a mesma só veio para complicar a vida das empresas. Portanto, a pesquisa revela um cenário totalmente oposto a esse discurso. As empresas brasileiras revelaram deter um grau de discernimento sobre a importância que os dados pessoais tomaram nas últimas décadas e que disciplinar o seu tratamento é algo importante e que gera valor efetivo para as empresas”, relata o professor Fernando Santiago.
Perfil do DPO
Já nomearam um Encarregado pela Proteção dos Dados Pessoais (ETD), figura também conhecido como Data Protection Officer (DPO), 66% das empresas entrevistadas. Deste total, apenas 14% são exclusivos para a função. A maior parte, 52%, acumula o exercício com outras funções, tais como CCO, CIO ou Jurídico. E as empresas dotadas de conselho de administração são as que atingem um percentual mais elevado de nomeação de DPO, 69%. Enquanto naquelas dotadas de conselho consultivo são 51%.
Na Europa, o Regulamento Europeu de Proteção de Dados Pessoais, conhecido como RGPD ou GDPR, determina expressamente que o DPO deva se reportar à mais alta hierarquia das organizações. No Brasil, a LGPD não possui nenhuma determinação nesse sentido, contudo, de forma espontânea, as empresas entrevistadas entendem que esse profissional deve responder diretamente à mais alta hierarquia das empresas. 82% estimam que o DPO responda ou deveria responder diretamente à mais alta hierarquia da empresa. “Tal fato revela, aos nossos olhos, um alto grau de maturidade das empresas sobre o tema, que compreendem que sem um determinado grau de poder e influência dentro da empresa esse profissional não consegue atingir os seus objetivos”, sinaliza Santiago.
“De maneira geral, os conselhos conhecem, valorizam e consideram a LGPD como prioridade para as empresas. Mas falta ainda, na maioria dos casos, chamar para si a responsabilidade de cobrar a plena adequação nas empresas que administram”, conclui Sardenberg.
O estudo indica ainda que
• Apenas 13% das empresas entrevistadas já sofreram um ataque cibernético;
• As empresas que já enfrentaram riscos cibernéticos ou algum impacto negativo quanto à proteção de dados têm maior tendência a contratar um DPO exclusivo para a função;
• 48% das empresas têm orçamento alocado para a área responsável pela adequação à LGPD;
• 57% das empresas contam ou pretendem contar com o apoio de uma consultoria externa especializada;
• 19% das empresas investiram em softwares para facilitar a gestão da governança de dados;
• Empresas que já têm um profissional na função exclusiva de DPO tendem a ter maior interesse em contratação de consultoria e de software de apoio; e
• Empresas com conselho de administração tendem a ter uma melhor percepção e envolvimento com as ações para implantação da nova lei do que empresas que têm apenas conselho consultivo