Empresas ainda enfrentam desafios para se adequarem à LGPD
A lei passará a ser cobrada a partir de agosto, mas as empresas ainda travam em pontos como monitoramento, coleta de dados e atendimento ao titular
A partir de agosto, a Lei Geral de Proteção de Dados Pessoais (LGPD) passará a contar com uma atuação mais incisiva da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por implementar, monitorar, fiscalizar e punir as empresas que não cumprirem com as normas de proteção de dados pessoais. As punições incluem simples advertências até multas que chegam a R﹩ 50 milhões por infração, além de suspensão parcial do funcionamento do banco de dados ou a proibição definitiva de atividades relacionadas ao tratamento de dados pessoais. Mesmo diante de duras penalidades, muitas empresas ainda não se adequaram às regras e mesmo aquelas que já iniciaram o processo têm enfrentado uma série de desafios para isso. Entre os principais problemas, está a localização de informações pessoais que devem estar em banco de dados e precisam ter a devida proteção. Outro ponto de atenção é o monitoramento das práticas de terceiros com os quais são compartilhados os dados, assim como a verificação da identidade do titular dos dados nas solicitações de petições previstas em lei.
Além disso, as empresas têm sofrido para minimizar a coleta de dados que solicita aos clientes, prática essa que é uma mudança de mindset e cultura na coleta das informações. A LGPD prevê que só é permitido pedir os dados necessários para aquela atividade pontual, eliminando uma série de coleta de informações que antes recheavam os bancos de dados das companhias. O quinto maior desafio se refere ao desenvolvimento de uma ferramenta de opt-out centralizada e fácil de usar. Na prática, significa que um simples e-mail marketing tem que oferecer a possibilidade a quem o recebe de bloqueá-lo e, assim, impedir qualquer contato daquela base de dados. Por fim, outro ponto de grande consternação ao mercado tem sido o atendimento do titular, desde solicitações de acesso, até mesmo requerimentos mais elaborados, como o apagamento ou a retificação do dado pessoal.
“Muitas empresas ainda pensam que a lei é só mais uma regulamentação burocrática e que não terá consequências se descumprida ou desprezada. É um grande erro pensar dessa forma. Para evitar prejuízos tanto reputacionais, como patrimoniais, é recomendado que a empresa esteja em conformidade com todas as regras da legislação”, alerta Fabrício da Mota Alves, Head de Direito Digital, Privacidade e Proteção de dados do Serur Advogados.
O Gerente Sênior Paulo Baldin da consultoria Alvarez & Marsal alerta também para a necessidade de mudança cultural na organização. “Realizar apenas a execução técnica e não mudar a cultura organizacional em relação à LGPD é outro equívoco. Se a mudança não for profunda, em que toda a companhia pense dentro do que determina a lei, os problemas serão frequentes”, afirma ele.
Os principais erros da implementação de LGPD
Embora a Lei Geral de Proteção de Dados Pessoais (LGPD) já esteja em vigor, pelo menos 60% das empresas do mercado brasileiro estão longe de atender aos requisitos legais impostos, segundo pesquisa da Alvarez & Marsal com cerca de 200 empresas de diferentes portes e segmentos. Entre os principais erros estão ainda, a implementação dos requisitos da LGPD somente nos “principais” departamentos da organização, a falta de investimento em Gestão de Identidades para definição de acessos as informações, ao nível dos acessos e a ausência de definição do responsável pelos dados e até mesmo com a realização de um diagnostico sem mapeamento dos processos de negócio que utilizam dados pessoais.
Os erros mais comuns:
• Achar que a lei é só mais uma regulamentação e que não terá consequências se descumprida;
• Realizar apenas a execução técnica e não mudar a cultura organizacional em relação à LGPD;
• Implementar os requisitos da LGPD somente nos principais departamentos da organização, ou apenas a realização de um diagnóstico simples;
• Não investir em Gestão de Identidades, para definição de acessos as informações e ao nível dos acessos;
• Escolher mal ou até mesmo não apontar o encarregado de proteção de dados;
• Contratar uma consultoria sem entender exatamente qual será o entregável;
• Coleta de dados desnecessários.
• Gestão de solicitações do titular dos dados;
• Não definir um plano de resposta de incidentes de segurança da informação; e
• Deixar de avaliar o prazo de retenção dos dados pessoais.
Certificação facilita a vida de quem quer evitar punições
Para ajudar as empresas a se enquadrarem nos processos, a ABNT, em parceria com o Observatório de Políticas Setoriais (OPS!), o Serur Advogados e a Alvarez & Marsal, elaborou um programa de certificação, que segue os princípios da ISO (International Organization for Standardization) e fornece os subsídios necessários ao cumprimento da legislação de forma segura. A certificação é uma importante aliada para a reforçar a credibilidade das empresas.
O procedimento conta com uma minuciosa análise dos auditores da ABNT, que depois de verificarem se os requisitos estão de acordo, fornecem a certificação, que garante um diferencial estratégico de mercado. Além disso, para que a certificação seja mantida, é exigida a realização de auditorias de manutenção a cada 12 meses.
Como solicitar a certificação
A organização interessada na certificação deverá entrar em contato pelo e-mail pesquisalgpd@alvarezandmarsal.com, e receberá os documentos necessários para dar início ao processo.