LGPD: DPOs enfrentam falta de dinheiro e má vontade com privacidade
A menos de um mês para o sinal verde à aplicação de penalidades previstas pela Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, as empresas brasileiras enfrentam muitos obstáculos para evitar o descumprimento da Lei e escapar de multas que podem pesar nos balanços. O principal entrave ao trabalho dos encarregados de dados, também conhecidos como DPO, é a falta de conscientização da empresa e de seus colaboradores sobre a relevância das ações para manter a privacidade e a proteção de dados pessoais.
Outro fator que joga contra a atuação do DPO é o baixo índice de engajamento das áreas que suportam atividades relacionadas aos processos de privacidade e proteção de dados. A batalha diária para proteger dados pessoais também esbarra em problemas como equipes e orçamentos reduzidos e até a ausência de um profissional para desempenhar a função de encarregado de dados, o que é considerada infração pela LGPD.
Esses dados foram revelados pelo estudo que acaba de ser divulgado pelo Comitê Privacy BR (linkedin.com/company/privacybr). A coleta de dados aconteceu entre 20 de abril e 16 de maio, por meio de questionários online, com a participação de 83 executivos de departamentos jurídico e de TI em empresas de mais de 20 setores.
Para 49,4% dos entrevistados, falta conscientização sobre a importância da privacidade e da proteção de dados pessoais nas empresas. Apontado por 48,2% dos participantes da pesquisa, o segundo maior entrave para a proteção de dados foi a ausência de engajamento de áreas que dão algum tipo de suporte para às ações de privacidade.
A falta de estrutura para implementar ações de proteção de dados pessoais também apareceu em grande parte das respostas. Para 47% dos executivos, é insuficiente o número de colaboradores dedicados às atividades de proteção de dados pessoais. Citado por 34,9% dos entrevistados, o orçamento reduzido é outro grande obstáculo à privacidade dos dados pessoais.
A advogada Patrícia Peck Pinheiro, presidente do Privacy BR e sócia head de Direito Digital do PG Advogados, ressalta que a “dificuldade em atingir a conscientização e o engajamento necessários é indicativo de risco e preocupação nas empresas, e consequentemente, motivo de alerta para os titulares dos dados”. Patrícia observa também que a presença e articulação de profissionais dedicados à proteção de dados nas empresas está longe da situação ideal. Um dos caminhos apontados pelo estudo para resolver o problema da ausência de um encarregado de dados dentro das empresas é a solução conhecida como “DPO as a service”.
Na prática, isso significa a contratação de um especialista em privacidade de dados para atuar como DPO profissional, que tem a função de garantir que a empresa está em conformidade com a LGPD. “As ações de sensibilização podem ser cruciais para o sucesso da implementação de um projeto de LGPD, tendo em vista que o fator humano é uma das maiores vulnerabilidades para vazamento de dados. Além de nomear o Encarregado, realizar campanhas de capacitação e orientação das equipes estão entre as iniciativas mais importantes para fazer cumprir a nova regulamentação”, diz Patrícia.
Indústria e área financeira são as mais bem preparadas
Mesmo diante de dificuldades para proteger dados pessoais, a pesquisa mostrou que a nomeação de um encarregado de dados e existência de uma equipe para suportar as ações desse profissional já é realidade em algumas empresas, principalmente em indústrias e na área financeira. De acordo com a pesquisa, os cinco setores que mais oferecem estrutura para as atividades desempenhadas pelo DPO são: são Indústria (41%), Financeiro (23%), Tecnologia (15%), Saúde (15%) e Varejo (5%).
Na visão de José Colhado, membro do Conselho Diretor do Comitê Privacy BR e sócio de Direito Digital do PG Advogados, as empresas que despontam no processo de adequação à LGPD entenderam que a conformidade legal deve extrapolar os muros da organização. Segundo Colhado, as empresas mais avançadas com relação à proteção de dados estão aumentando os critérios de seleção de fornecedores que que eles possam garantir um tratamento adequado dos dados de titulares.
“Essas empresas já compreenderam que devem também selecionar adequadamente os fornecedores que irão tratar os dados de seus titulares em seu nome, com base em critérios estabelecidos em suas políticas internas. Isso, porque, caso alguns destes operadores causem danos aos titulares, poderão ser solidariamente responsabilizadas. Isso gera um efeito em cascata para o restante do mercado, que se vê obrigado a também buscar a sua conformidade para atender os requisitos legais e se manterem competitivos”, diz.