LGPD: para alívio de despreparados, multas ainda podem demorar

Somente agora, quase três anos depois de sancionada, é que a Lei Geral de Proteção de Dados, ou LGPD, pode gerar multas e sanções contra quem violar obrigações de coleta, registro e guarda de dados pessoais dos cidadãos brasileiros. Mas ainda pode levar algum tempo até que isso efetivamente aconteça, já que a recém-formada Autoridade Nacional de Proteção de Dados – a ANPD – ainda discute em audiências públicas uma resolução que vai finalmente regulamentar como será a fiscalização e a aplicação dessas sanções.

A fiscalização e aplicação das sanções é de responsabilidade exclusiva da ANPD, estrutura vinculada à presidência da república.

Para os especialistas ouvidos pelo IT Forum, incluindo advogados especializados e consultores ligados ao tema, mesmo que ainda leve algum tempo até a Lei 13.709/2018 chegar às punições de fato, outros órgãos de fiscalização ainda podem se valer dela, principalmente os de defesa do consumidor. Afinal a norma está vigente desde o ano passado, e empresas e organizações enquadradas já têm a obrigação de se adequarem.

“Ela [a ANPD] já publicou informações avisando que ainda há prazo. Claro que não sabemos [uma data exata], mas não sei se esse ano vai haver uma ação mais impositiva. Nós acreditamos que só no início do ano que vem [2022]”, estima Marcela Waksman Ejnisman, sócia da área da segurança da informação e privacidade do TozziniFreire Advogados.

Participe: Pesquisa IT Mídia sobre adesão à LGPD vai até sexta-feira (06)

Para a especialista, refletindo uma posição comum entre os profissionais jurídicos ouvidos para esta reportagem, isso acontece porque a Autoridade Nacional prefere, ao menos em um primeiro momento, atuar de forma mais educativa do que punitiva. “O foco não tem sido de penalizar ou aplicar sanções, mas de fazer com que as empresas entendam como agir, qual o comportamento adequado”, explica a advogada, que considera a posição benéfica. “Tem sido positivo acompanhar a Autoridade.”

Embora não arrisque estipular prazos sobre o início das sanções, Tatiana Campello, sócia de privacidade, tecnologia e cibersegurança do escritório paulistano Demarest, também acredita que a disposição da ANPD de ouvir a sociedade em uma consulta pública significa adotar uma postura mais conscientizadora do que censora. Mas que isso “não quer dizer que eles não possam aplicar sanções”, ou seja, há sim uma expectativa latente de sanções.

“Acho excelente começar por questões educativas. É um entendimento de que vai se formando uma cultura de privacidade”, diz a advogada. “E ações educativas vão reforçar esse entendimento.”

A LGPD lista como sanções advertências, multas (diária ou até um limite de até 2% do faturamento da empresa, limitado ao teto de R$ 50 milhões por infração), bloqueio de dados objeto da violação, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados.

Preparação e atrasos

Para além da necessidade de conscientização, algumas pesquisas recentes detectaram que uma parcela considerável de empresas ainda não se considera pronta para a LGPD. Uma pesquisa da Fundação Dom Cabral (FDC) divulgada essa semana, por exemplo, revelou quase 40% entre 207 organizações brasileiras dotadas de conselho de administração ou consultivos reconhecem não estar plenamente adequadas.

O estudo, liderado pelos professores Dalton Sardenberg e Fernando Santiago, e realizado durante o primeiro semestre de 2021, descobriu que quase metade (48%) das empresas têm um orçamento alocado para a área responsável pela adequação à LGPD, e 57% já tem ou pretendem contratar uma consultoria externa especializada para lidar com o tema.

Marcela Waksman Ejnisman, sócia da área da segurança da informação e privacidade do TozziniFreire Advogados (foto: divulgação)

“A busca pela adequação, pela [minha] experiência dos últimos anos, foi por ondas”, pondera Leonardo Carissimi, diretor da prática de cibersegurança e privacidade da Capgemini no Brasil. A primeira, diz, com a publicação da lei em 2018, em que apenas algumas empresas começaram a se preocupar com a adequação. Após dois adiamento e consequentes arrefecimentos na velocidade dos projetos, a maior de todas as ondas começou em setembro de 2020.

“[Os projetos de adequação] Vieram em um ritmo forte do ano passado pra cá. E uma última que estamos vivenciando, eu diria que de junho para julho, quando virou a folha do calendário”, conta o executivo. A divisão de cibersegurança e privacidade da consultoria cresceu 40% no Brasil durante o primeiro trimestre desse ano, na comparação com o mesmo período de 2020, em boa parte por conta de projetos de adequação à LGPD.

Para Simone Santinato, advogada especializada em cibercrime e DPO da Etek NovaRed, há “uma preocupação crescente dos nossos clientes”. A empresa especialista em cibersegurança também trabalha com projetos de adequação à LGPD. “Eles acham que estão em fases mais atrasadas, e temos lidado com alguma ansiedade.”

Carla Battilana, sócia da área da segurança da informação e privacidade do TozziniFreire Advogados (foto: divulgação)

Segundo a especialista, os adiamentos sofridos pela LGPD desde que foi promulgada em 2018 fizeram, em alguns momentos, as empresas “colocarem o pé no freio quando deveriam estar mais aceleradas”. Mas que essa aceleração finalmente veio quando o ficou evidente que a vigência não seria mais adiada. Apesar disso, há muitos clientes da empresa com adequações ainda em implantação ou finalizando provas de conceito (POCs) para a contratação de soluções.

“Nossa vida está uma loucura no que diz respeito a homologar, conduzir POCs, negociar compras. Tem muita gente começando agora”, conta a executiva, que lidera iniciativas de proteção de dados na Etek NovaRed.

Carissimi acha difícil dizer que parcela das empresas está de fato preparada para a LGPD, tanto porque o tema é muito complexo como porque uma adequação total, “se é que existe isso”, exigiria um arcabouço regulatório completo ainda não existente. Mas “os números das pesquisas são coerentes”, diz, se considerarmos o que o especialista chama de “níveis de conforto”, ou seja, a sensação de se estar ou não preparado.

Definindo adequação

Mas afinal, o que define se uma empresa está ou não preparada para a LGPD? Não é uma resposta simples porque ela envolve tanto o entendimento de aspectos jurídicos como de guarda e segurança de dados pessoais de clientes e funcionários. Portanto não há um único caminho para alcançar esse estágio.

“Primeiro é preciso interpretar a lei e fazer o máximo possível. Há pontos que ainda precisam de regulamentação, mas isso não quer dizer que as empresas não devam se preparar com base em práticas internacionais”, diz Tatiana Campello, do Demarest. “Como a nossa legislação segue muito o GDPR [Regulamento Geral sobre a Proteção de Dados da União Europeia], usamos muito o que é feito na Europa. Com adaptações, claro.”

Tatiana Campello, sócia de privacidade, tecnologia e cibersegurança do Demarest (foto: divulgação)

Marcela Ejnisman, do TozziniFreire, diz que é preciso primeiro entender o tamanho da necessidade de cada empresa no que tange à adequação, e que um grupo multidisciplinar que entenda a lei faça um primeiro mapeamento antes de começar. A maioria das empresas, diz, não sabe o que é feito com os dados pessoais coletados dos clientes.

Além da adequação sob o ponto de vista jurídico, adiciona Carla Battilana, também sócia do TozziniFreire, é necessária a atuação conjunta com consultorias especializadas em tecnologia para avaliar aspectos de guarda de dados e cibersegurança. “Em razão de ataques e incidentes, o aspecto da segurança da informação é fundamental”, diz.

Simone Santinato, DPO da Etek NovaRed, concorda que encontrar ajuda especializada é o primeiro e mais importante passo. É a partir desse trabalho que medidas de mapeamento, conscientização e contratação de soluções tecnológicas, entre outros aspectos, são tomadas.

“No nosso caso recomendamos contratação de softwares que fazem a gestão da governança e privacidade da empresa, combinados com descoberta de dados. É um hall enorme de recursos”, diz a executiva. “Não existe realmente uma fórmula mágica, pelo contrário. É um ciclo. E cada empresa é uma e vai ter um nível de solução.”

Simone Santinato, DPO da Etek NovaRed (foto: divulgação)

Para Carissimi, da Capgemini, apesar de não haver um “certo e errado” no caminho que as empresas tomam na jornada de adequação à LGPD, projetos que nascem fora da área jurídica ou de compliance correm mais risco de não serem vistos como pertencentes a todos os funcionários de uma empresa.

“E a mesma coisa com tecnologia. Tivemos um projeto feito no ano passado que começou por TI”, conta o diretor. “Teve dificuldade para avançar porque a organização entendia que era um projeto de tecnologia e não apoiou o suficiente. Identificamos [o problema], reportamos, negociamos com os envolvidos e o projeto mudou. Ganhou uma liderança de fora da tecnologia e passou a ter uma liderança melhor reconhecida pela organização como um todo.”

DPO indispensável?

Um executivo responsável por toda a estratégia de guarda e proteção de dados de uma companhia (o Data Protection Officer, ou DPO) é uma figura sempre necessária ou é possível diluir essa responsabilidade em um comitê interno – ou até mesmo terceirizar a função para um fornecedor terceiro? Os especialistas ouvidos pelo IT Forum não acham que exista uma resposta definitiva, principalmente ao se considerar que a experiência da adequação ainda é novidade e deve sofrer alterações ao longo dos próximos anos.

Mas para a maioria deles é mais recomendado que essa função seja exercida dentro da companhia, tanto por conta da sensibilidade das informações tratadas como pela importância que o tema ganha na organização. “Depende muito do perfil, do tamanho da empresa, da disponibilidade dos profissionais. Isso realmente tem que ser analisado”, diz Tatiana Campello. “É preciso avaliar competências, orçamentos… um conjunto de fatores para chegar a uma conclusão.”

O estudo da Fundação Dom Cabral mostra que, entre as empresas pesquisadas, 66% já nomearam um encarregado pela proteção dos dados pessoais (ETD), termo usado pela legislação para descrever o DPO. No entanto apenas 14% executam exclusivamente essa função, e a maior parte (52%) acumula outros cargos, como COO, CIO ou jurídico.

Leonardo Carissimi, diretor da prática de cibersegurança e privacidade da Capgemini no Brasil (foto: divulgação)

“Eu tenho a missão de cuidar para que a minha empresa esteja adequada. Vou ser a pessoa que vai lidar com a ANDP caso nos procure. Preciso saber todos os pontos em que podemos ter problema para atuar”, explica Simone Santinato, a DPO da Etek NovaRed.

A Capgemini, diz Leonardo Carissimi, entende que a figura do DPO é importante considerando o quão estratégica uma estratégia de dados é para a empresa. “Como não resolver isso de forma forte, mandando uma mensagem para a organização? Que o assunto é sério e estamos levando ele a sério”, questiona.

Mas, diz o executivo, na maioria dos clientes de consultoria e projetos de adequação, mesmo os maiores, ainda se está na fase de entender o volume de trabalho e o tamanho das equipes necessárias. E que essas funções operacionais, sim, podem ser pulverizadas – até mesmo para empresas terceiras.