Deloitte

Soluções de governança corporativa para seus desafios de negócios

LGPD: como aplicar no Brasil as lições aprendidas com a GDPR da Europa?

O Brasil inicia a implementação de sua Lei Geral de Proteção de Dados (LGPD) ainda de maneira incerta e cercada por muitas dúvidas neste mês de agosto. As empresas e autoridades brasileiras têm, no entanto, a chance aproveitar a oportunidade para olhar a experiência europeia e extrair lições para melhorar a eficácia da lei e reduzir os questionamentos no panorama nacional.

Embora a lei tenha sido adotada antes na Europa, isso não significa que todas as empresas conseguiram se adequar a tempo – algumas ainda estão nessa jornada. A Lei de Proteção de Dados Europeia (General Data Protection Regulation, ou GDPR) entrou em vigor em abril de 2016 e passou a ter adoção obrigatória há mais de dois anos –desde maio de 2018 – com monitoramento e melhorias contínuas desde então. “Para a maioria das organizações, o período de transição de dois anos não foi suficiente para garantir a conformidade com o regulamento”, afirma Marcelo Farias, sócio de Cyber Risk da Deloitte.

As regras de proteção de dados estabelecidas pela leis europeia e brasileira (essa quase uma reprodução da versão da Europa) versam sobre questões de proteção de informações individuais e privacidade, colocando as pessoas no controle total de tais dados, ainda que estejam de posse de terceiros. As regulamentações trazem, ainda, a necessidade de fiscalização estrita por parte das autoridades competentes, sob a pena de pesadas multas em caso de descumprimentos. No Brasil, esse papel será assumido pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), vinculada à Presidência da República.

Desta forma, o consumidor de qualquer tipo de produto ou serviço, ou envolvido em relação com outras partes que necessite da troca de dados, passa a ser o único e exclusivo proprietário sobre as suas informações, podendo exercer esse controle em qualquer tempo e com direito total sobre o possível uso, pelas organizações, dessas informações para seus negócios. “Notamos na experiência europeia que, no início de sua entrada em vigor, 89% das empresas planejavam ter programa formal de preparação para a lei. Destas, apenas 45% conseguiram criar o mecanismo”, explica Farias, sobre a fase de preparação, que abrangeu de maio de 2016 a maio de 2018.

Após a aplicação efetiva, desde maio de 2018, notou-se que muitas empresas adotaram uma abordagem mais despreocupada, na contramão da necessidade urgente imposta pela lei. Um levantamento feito pela Deloitte revelou que, na data, 31,6% esperavam estar em conformidade apenas nos meses seguintes, até ao fim de 2018; já a postura de 12,7% foi “esperar para ver”. Do restante, 21,2% não souberam ou não eram aplicáveis à lei e 34,5% conseguiram cumprir o prazo. “No início dessa jornada, a maioria, 54%, deram relevância à GDPR por conta do montante de multas em caso de descumprimento”, explica Farias.

 Cuidados com a implementação

Passados dois anos da adoção plena da GDPR na Europa, os focos das organizações continuam sendo garantir a conformidade com os requisitos da lei e tornar a privacidade e a ética no tratamento de dados partes integrantes dos valores e práticas das organizações.

O mesmo deve acontecer com a LGPD no Brasil, ainda mais se considerarmos o cenário político-econômico e de grau de maturidade das organizações sobre o tema. “O assunto deve ser tratado de forma responsável pelas empresas, tendo em vista o aumento dos casos de vazamento de informações, que podem trazer reflexos para a reputação das organizações e da sociedade”, destaca José Pela Neto, sócio de Cyber Risk da Deloitte. “A maioria das organizações cumpre com o regulamento, mas mantém planos de implementação em curso”, explica José Pela Neto. Isso acontece por diversos fatores, incluindo o desconhecimento e a falta da cultura de proteção de dados no dia a dia do negócio.

“Ao mesmo tempo em que a cultura da privacidade ainda não é transversal em toda a organização, o conhecimento sobre as implicações da Lei de Proteção de Dados está pouco disseminado, concentrando-se nos grupos de colaboradores mais elevados e responsáveis pela implementação das medidas”, diz o executivo.

Na jornada de adoção integral dos requisitos da lei, que garantiram seu cumprimento, duas fases foram identificadas pelos especialistas da Deloitte antes do momento atual, em se falando da Europa. Em primeiro lugar, em 2016 (ano em que a lei foi aprovada e começou a vigorar, ainda sem efeitos punitivos), as organizações se preocuparam em realizar diagnósticos de seus processos de negócio para verificação (ou não) da conformidade, além de levantar essas relações comerciais e contratos com terceiros, colaboradores, e ainda levando a cultura da informação sobre o assunto a seus canais de comunicação.

A partir do momento em que a GDPR passou a gerar efeitos punitivos, dois anos depois (em maio de 2018), as empresas começaram a incluir maior apoio na implementação dos processos de gestão de privacidade, implementação de processos de anonimização de dados e melhoria da gestão de acesso e respostas mais efetivas a situações de vazamento.

Ainda segundo o levantamento da Deloitte, passados dois anos da entrada em efeito da GDPR, as organizações europeias vêm se preocupando com a recuperação de processos incompletos (DPIA) – para ajudá-las a analisar, identificar e minimizar os riscos de proteção de dados de um projeto ou plano, servindo também para avaliar se a empresa está efetivamente cumprindo suas obrigações de proteção de dados; além da implementação de aplicativos de gestão de privacidade. A crise da Covid-19 forçou o olhar para novos tratamentos das novas ameaças à privacidade que surgiram nesse contexto, à luz do aumento nas tentativas de fraudes, golpes virtuais e roubo de informações.

 Lições europeias

Analisando a adoção da GDPR na Europa, com os desafios encontrados passados quatro anos de sua aprovação, e o momento atual brasileiro, no qual a lei está começando a valer, os especialistas da Deloitte listam algumas questões a serem consideradas pelas organizações que ainda se encontram no processo de adequação.

Em primeiro lugar, é necessário definir internamente um corpo normativo, que será responsável pela governança dos requerimentos e implementação dos processos de segurança e privacidade. Em seguida, é necessário um levantamento minucioso para caracterizar das atividades de negócios e sua conformidade com a lei, incluindo o tratamento e armazenamento de dados, tanto nos sistemas de informação da empresa quanto junto a terceiros.

As tarefas passam ainda pela realização de avaliações de impacto na proteção de dados pessoais, pela efetiva implementação das medidas de segurança nos sistemas e de ferramentas de suporte à autoridade fiscalizadora, o que inclusive ajudará a empresa a evidenciar o pleno cumprimento da lei, em caso de intercorrências ou fiscalizações rotineiras.

Os especialistas destacam, ainda, a importância de considerar o contexto da crise da Covid-19. Assim, as empresas que atuam no Brasil precisam verificar também em que medida os requerimentos da LGPD vêm sendo atendidos nas situações de trabalho remoto (teletrabalho, home office, etc), avaliando as ferramentas e seus requisitos mínimos de segurança, e assegurando o conhecimento da lei por parte dos profissionais, por meio de treinamentos e comunicações.

Inscreva-se para conhecer mais conteúdos e soluções sobre governança corporativa