Por Pedro Lovisi, da Folhapress
BELO HORIZONTE – Embora a LGPD (Lei Geral de Proteção de Dados) já esteja em vigor desde setembro do ano passado, ainda faltam campanhas educativas para que empresas se adequem ao que ela determina. A conclusão é dos debatedores da primeira mesa do seminário Cibersegurança: oportunidades e desafios, realizado pelo jornal Folha de S.Paulo na última quinta-feira (29), com patrocínio da Mastercard.
Pesquisa do Datafolha apresentada na abertura do evento revelou que apenas 25% das empresas brasileiras têm planejamento anual para cibersegurança. O levantamento foi feito em fevereiro, com 351 profissionais responsáveis pela tomada de decisões da área de tecnologia. Foram ouvidas empresas de pequeno, médio e grande porte das áreas de saúde, educação, telecom, segurança, seguros, varejo e fintechs.
A pesquisa aponta ainda que 75% dos entrevistados acreditam que a LGPD trará mais benefícios do que prejuízos para as companhias.
Os números que detectam a adesão das empresas a políticas de cibersegurança terão que subir obrigatoriamente a partir deste domingo (1º), data estipulada para que a ANPD (Autoridade Nacional de Proteção de Dados) comece a punir quem não tiver se adequado à lei. As multas podem chegar a 2% do faturamento da empresa, até o limite de R$ 50 milhões.
“Precisamos ter, em todas as esferas, campanhas educativas e divulgação oficial, a lei precisa ser conhecida. Ainda falta bastante conscientização das empresas e da sociedade como um todo”, afirmou Renato Opice Blum, advogado de direito digital e presidente da ANPD, um dos participantes do seminário.
Até 25 de junho último, cerca de 600 sentenças judiciais foram embasadas na LGDP, metade delas tratando diretamente de proteção de dados pessoais e privacidade. Levantamento feito pela Juit, empresa especializada no uso de ferramentas automatizadas para fazer varredura de tribunais, aponta que os processos ainda estão regionalizados. Do total das sentenças, 74% são de primeiro grau e estão restritas a São Paulo.
Foi consenso entre os especialistas que participaram do seminário que as empresas de menor porte são as que mais sofrem para se adequar completamente à lei.
Segundo o Datafolha, 88% dos responsáveis pelo departamento de TI de pequenas empresas acreditam que a lei trará mais benefícios do que prejuízos, mas os especialistas creem na necessidade de iniciativas específicas da ANPD para esse grupo.
“Eu vejo que alguns pequenos negócios têm muitas dúvidas sobre qual é a melhor forma de se adequar à lei. Não há ainda uma especificação a respeito do tamanho das empresas e isso deve ser um ponto para a regulamentação futura”, afirma Bárbara Simão, coordenadora da área de privacidade e vigilância no InternetLab. Por enxergar essas lacunas, Bárbara Simão acredita que, neste momento, a lei continuará sendo mais educativa do que punitiva.
Sem dinheiro em caixa, em um momento de crise financeira intensificada pela pandemia, as pequenas e médias empresas encontrarão ainda mais dificuldade para contratar consultorias e profissionais especializados em segurança de dados.
A LGDP, como destacado pelos participantes, determina que as empresas criem a figura do encarregado. Trata-se de uma pessoa ou um departamento indicado para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD.
Devido aos custos, Blum diz que, inicialmente, haverá um “regime mais suave” para as pequenas empresas. O advogado também crê que os problemas financeiros podem ser contornados com contratação de empresas especializadas e políticas públicas de incentivo financeiro.
“A lei não traz nenhuma restrição ao uso do serviço prestado por pessoas jurídicas, e eu acredito que isso deverá acontecer e, de forma escalada, facilitará a aquisição desse serviço por parte das pequenas empresas. Pode haver também incentivos governamentais para a contratação desse serviço e descontos”, afirma Blum.
Já Bruno Bioni, diretor e cofundador da associação Data Privacy Brasil de Pesquisa, ressalta que as análises para incentivos devem levar em conta não apenas o tamanho da empresa, mas também a atividade-fim. Além do porte econômico, é preciso considerar quais são os riscos à atividade de dados pessoais.
“Uma startup pode ter um faturamento pífio, mas se trata um alto volume de dados pessoais, a atividade dela tem risco altíssimo. Esses dois elementos devem estar na conta do peso da regulação”.
