Empresas e órgãos públicos que infringirem a Lei Geral de Proteção de Dados (LGPD) poderão agora ser multados. As penalidades começam neste mês de agosto e vão desde advertências até pagamentos iguais a 2% do faturamento, até um limite de R$ 50 milhões. A LGPD também pode proibir que essas empresas e órgãos públicos mantenham atividades relacionadas ao tratamento de dados.
A Lei Geral de Proteção de Dados foi aprovada em 2018 e entrou em vigor em setembro de 2020. A LGPD estabelece uma série de regras sobre os processos de coleta, armazenamento e compartilhamento de informações e tem a função de proteger os dados pessoais de todo cidadão que esteja no Brasil.
O cidadão precisa ser informado de como os dados fornecidos a empresas e órgãos públicos serão usados, e então concordar com o compartilhamento dessas informações. A LGPD determina que o cidadão é o titular dos seus dados, e não as empresas e órgãos públicos que têm as informações registradas. O texto prevê consentimento do usuário para coletar, alterar, excluir ou compartilhar um dado, assim como também dispõe que as instituições adotem medidas segurança para evitar violação de informações e que notifiquem o titular em caso de incidentes.
Empresas e órgãos públicos serão punidos pelo uso indevido dos dados pessoais de consumidores e cidadãos, incluindo vazamentos. Segundo a Rádio Senado, as sanções serão aplicadas pela Autoridade Nacional de Proteção de Dados, criada em setembro do ano passado. As exigências da LGPD valem tanto para as lojas físicas quanto para virtuais, situadas no país ou no exterior que ofereçam serviços para pessoas no Brasil.
As empresas estão preparadas para as multas da LGPD?
Uma pesquisa feita com 997 empresas pelo empresa de tecnologia RD Station, em parceria com a Manar Soluções em Pesquisa e Eduardo Dorfmann Aranovich e Cia Advogados, mostra que a adaptação à LGPD ainda é lenta entre as empresas.
93% dos entrevistados dizem conhecer ou pelo menos já ter ouvido falar sobre a Lei Geral de Proteção de Dados. 68% das empresas ouvidas pela pesquisa já conhecem ou estão se informando sobre as punições para quem desrespeitar a LGPD. Porém, apenas 15% se mostram prontas ou na reta final de preparação para a entrada em vigor das sanções. 19% não fizeram nenhuma adequação até o momento.
O resultado é que apenas 26% dos entrevistados “adotam providências e consideram sua base de dados segura”. 38% “já adotam medidas de segurança da informação, mas não têm certeza de sua efetividade”; 22% “não adotam medidas de segurança”; e 14% “não souberam informar”.
“Existe uma pulverização de motivos apontados pelas empresas para a falta de adequação. Isso sugere uma falta de clareza sobre os processos necessários para estar em linha com a Lei”, escreve a RD Station no estudo. A empresa de tecnologia elencou como principais motivos complexidade das medidas; ausência de pessoas especializadas; e ausência do conhecimento necessário.
Apenas 14% dos entrevistados dizem não ter encontrado nenhuma dificuldade até o momento. Mesmo assim, as empresas participantes da pesquisa não estão dispostas a investir muito para o enquadramento à LGPD.
Apenas 8% das empresas projetam uma atuação integrada entre várias áreas internas para se adaptar à Lei Geral de Proteção de Dados. 19% dos entrevistados disseram que não possuem a figura do Encarregado de Proteção de Dados (DPO) contratado ou não souberam informar qual área lidera a adequação às normas.
28% pretendem gastar menos de R$ 10 mil, enquanto 55% ainda não sabem o quanto irão investir ou não pretendem gastar nada. 21% das empresas não têm intenção de capacitar seus profissionais, e outras 16% ainda não sabem se vão investir em capacitação. 35% ainda não realizaram capacitações, mas pretendem fazê-las, e apenas 28% já realizaram capacitação.
Outra pesquisa mostra um resultado ainda mais preocupante, restringindo a análise apenas para PMEs. Só 4% das pequenas e médias empresas se consideram preparadas para a LGPD, segundo um estudo da empresa de soluções de segurança da informação BluePex feito com cerca de 1.000 PMEs. O número é um leve avanço em relação a uma pesquisa feita pela BluePex em outubro de 2020. Na ocasião, a porcentagem era de 2%. 27% das pequenas e médias empresas se consideram “parcialmente preparadas”. 55% dos gestores ainda buscam informações para se adequar à legislação. Por fim, 12% ainda não iniciaram nenhuma ação para adequação à LGPD.
O futuro da LGPD
Fernanda Nones, Data Protection Officer na RD Station, enxerga que o futuro da Lei Geral de Proteção de Dados é otimista apesar desses dados. “Percebemos que as empresas já têm conhecimento sobre a lei, apesar de a adequação ainda caminhar a passos lentos. Vemos também que os principais desafios não estão ligados à questões que colocam em cheque eficácia da lei, mas sim a questões estruturais, como ausência de capital para investir no tema, falta de profissionais qualificados e ainda desafios estruturais, como definir quais são as áreas e pessoas que devem estar envolvidas no processo. Ainda temos um longo caminho pela frente, mas o cenário é muito promissor.”
Vítor Pedrozo, sócio da consultoria Grant Thornton Brasil, afirma que as empresas devem trabalhar rapidamente para se adequar à LGPD. A Lei Geral de Proteção de Dados passará a fazer parte da governança corporativa, e será um processo contínuo de bom tratamento dos dados.
“Quanto mais demora, menos tempo útil para se fazer testes e entender qual é a estrutura mais adequada para a empresa”, ressaltou. “Mais do que a multa financeira, o empresário deve pensar na reputação da sua empresa. Ninguém quer ter sua marca associada ao uso inadequado de dados dos clientes no noticiário.”
O executivo prevê que a ANPD vai atuar de forma mais educacional nos primeiros meses. “Vai ser uma postura de conscientização, para criar uma cultura e alertar as pessoas sobre a importância da Lei. Acredito que, inicialmente, possam ter algumas advertências e avisos, mas para casos recorrentes a sanção financeira se aplicará.”
Com informações do InfoMoney