Mercado

LGPD: evite os erros na contratação de serviços

Mais da metade dos processos de contratação de consultorias para projetos de adequação ou de diagnóstico relacionados à Lei Geral de Proteção de Dados (LGPD) não consegue qualificar adequadamente as prestadoras de serviço e fracassam ainda nessa etapa. Em muitos casos, a qualificação indevida acarreta prejuízos futuros pela contratação de equipes sem a experiência necessária para lidar com a proteção de dados pessoais, tema ainda muito novo para a sociedade brasileira. O alerta foi feito pela Every Cybersecurity and GRC durante o evento online O jogo dos 7 erros nas contratações de projetos de adequação à LGPD – Lei Geral de Proteção de Dados Pessoais.

O CEO da Every Cybersecurity and GRC, Eduardo Nery, adverte que o mercado de prestação de serviços em LGPD possui empresas que participam das concorrências sem a experiência necessária. Segundo Nery, isso exige um empenho maior das contratantes ao elaborar um termo de referência ou uma proposta para processos de contratação.

“Nos últimos dois anos, participamos de pelos menos duas concorrências por semana, com empresas públicas e privadas. Vejo o mercado de contratação de serviços de LGPD rumar para a UTI. Muita gente acha que pode fazer projetos para grandes empresas, sem qualificação para isso. Participamos de uma licitação, por exemplo, com 30 concorrentes e destes só sete faturavam acima de R$ 500 mil por ano. Entre as sete empresas, só quatro apresentaram atestado de capacidade relacionado à LGPD”, diz Nery.

De acordo com o levantamento da Every Cybersecurity and GRC, as contratantes precisam equilibrar os requisitos para evitar que a fase de qualificação dê margem à contratação de empresas sem qualquer experiência em projetos de LGPD. Por outro lado, Nery comenta que foram verificados extremos em que o alto nível de exigência limitava a concorrência. Um dos equívocos mais frequentes verificados pela equipe da Every está relacionada à apresentação de atestados e documentos que comprovem as competências da contratada.


“Em um dos editais, com a participação de seis empresas, nenhum dos concorrentes se qualificou porque uma das exigências era um atestado emitido por empresa do segmento financeiro do porte S3. Em outra concorrência, era preciso ter experiência em empresa listada na bolsa de valores”, comenta Nery. O CEO da Every Cybersecurity and GRC cita ainda o caso de uma licitação em que o sócio da contratada deveria integrar a equipe executora do projeto e ainda ter graduação em áreas tecnológicas ou administrativas além de pós-graduação (nível mestrado e/ou doutorado).

Era preciso ainda que o sócio da empresa apresentasse certificações como ISACA/CGEIT (Certified in the Government Enterprise Information Technology). Segundo Nery, esse tipo de exigência tira da concorrência muitas empresas com qualificação comprovada em LGPD. Em outros casos, o problema está na abrangência de termos e de documentação. Nery lembra que em uma das licitações analisadas era exigido apenas uma comprovação de experiência em implantação de programas de privacidade e compliance, mas nada especificamente relacionado à LGPD. 

Segundo Nery, grande parte dos serviços prestados no mercado tem alguma relação com governança, privacidade e compliance. No caso de projetos de LGPD precisa ser específico. “É bom também evitar termos que dêem margem à dupla interpretação e ter muito cuidado com a disparidade dos orçamentos. Já vimos propostas em que o valor estimado era de R$ 246 mil e o segundo colocado apresentou uma proposta de apenas R$ 23.500. Com esse valor, o preço da hora/homem neste projeto seria de R$ 3,00, em média. Como remunerar um profissional para um serviço referente à LGPD por esse valor?”, questiona Nery.

A equipe da Every Cybersecurity and GRC também faz um alerta sobre a veracidade dos atestados apresentados nas propostas. Nery explica que a contratante pode e deve exigir comprovação das experiências por meio da verificação de contratos, notas fiscais emitidas e recebidas, crédito em conta bancária. “Não contratem sem diligência na documentação. É possível exigir transparência e verificar a veracidade das informações apresentadas”, completou.

Botão Voltar ao topo