No Dia Internacional da Proteção de Dados, o Portal IPNews entrevistou três especialistas em privacidade de dados para entender quais são as principais dificuldades das empresas para entrar em conformidade com a Lei Geral de Proteção de Dados (LGPD). Quase cinco meses após a entrada em vigor da nova legislação, as empresas ainda passam pelo processo de adaptação tecnológica e cultural, além de enfrentar os desafios de investimento, de integração entre áreas e a contratação de um encarregado de Dados (DPO).
CONTEÚDO RELACIONADO – A LGPD é necessária na sua empresa
Tatiana Campello, especialista em Privacidade de Dados e Cibersegurança do escritório de advocacia Demarest.
Tatiana Campello, especialista em Privacidade de Dados e Cibersegurança do escritório de advocacia Demarest, afirma que as empresas estão em diferentes estágios. “Algumas já terminaram a fase de implementação e estão agora lidando com questões mais pontuais, outras ainda no meio do processo e muitas nem começaram.”
Ela aponta que o processo leva tempo, já que é necessário o mapeamento do fluxo de dados pessoais e definição das providências a serem tomadas, tanto na esfera jurídica quanto de controles, sistemas e segurança da informação.
Após o processo de implementação, as empresas ainda precisam manter seu nível de conformidade. Luis Eduardo dos Santos, gerente de TI e DPO da Valid, desenvolvedora de certificações digitais, aponta que, uma vez adequada à LGPD, as empresas precisarão manter seus Sistemas de Gestão de Proteção de Dados (SGPD) para garantir a continuidade do nível de conformidade para os processos existentes, bem como para o desenvolvimento de novos produtos.
Para concluir o processo, também é preciso o apoio da liderança da empresa para que os colaboradores percebam o valor da adoção de novos processos. “Nesse sentido, é bom lembrar à alta direção que a conformidade com a LGPD já é percebida como diferencial de mercado, e que assim como os titulares de dados pessoais, as próprias empresas estão se tornando bem mais seletivas em termos de contratar serviços apenas de quem já está avançando no seu projeto de adequação”, destaca Cláudio Dodt, sócio da Daryus Consultoria e especialista em segurança da informação e privacidade de dados.
O papel do DPO
A LGPD também colocou uma nova figura dentro das empresas, o encarregado pelo Tratamento de Dados Pessoais, ou DPO, que será o responsável pelo processo e a ponte entre a companhia, consumidor que fornece seus dados e a Autoridade Nacional de Proteção de Dados (ANPD), o órgão responsável por fiscalizar e auxiliar as empresas na adaptação à lei.
Tatiana lembra que a definição do DPO tem sido um grande desafio para as empresas. “Qual seria o melhor candidato? Alguém de fora ou de dentro da organização? Deve-se instituir um comitê de privacidade para apoio ao encarregado? Há conflito de posições? São algumas das perguntas que as empresas precisam discutir”, afirma a advogada.
Cláudio Dodt, sócio da Daryus Consultoria e especialista em segurança da informação e privacidade de dados.
Muitas empresas têm tido dificuldade em apontar uma pessoa adequada a essa responsabilidade, dado a necessidade de conhecimentos multidisciplinares. “É comum que um encarregado que tem formação jurídica não tenha conhecimentos aprofundados sobre tecnologia e vice-versa”, destaca Dodt.
Ele destaca que o importante é que ele esteja habilitado a trabalhar de forma independente, sem gerar conflitos de interesse, o que não quer dizer que não precise de colaboração entre as áreas, especialmente o jurídico e a TI. “Para estar em conformidade com a LGPD estas duas áreas precisam operar de forma consultiva para as demais áreas da companhia”, complementa Santos.
ANPD: complica ou descomplica?
Luis Eduardo dos Santos, gerente de TI e DPO da Valid.
Com a Autoridade Nacional, a expectativa dos especialistas é que a rotina das empresas seja facilitada. “Teremos um órgão regulador que dará as diretrizes a serem seguidas. Não podemos olhar para a autoridade apenas como um instrumento fiscalizador punitivo, mas sim como um órgão consultivo, onde as empresas poderão buscar orientações”, esclarece Santos.
Para Dodt, a ANPD vai “fazer acontecer” a LGPD, assegurando a correta aplicação da regulamentação de dando a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos que são os titulares de dados pessoais.
“Muito além de fiscalizar o cumprimento da LGPD, a ANPD deve apoiar em ações como promover na população o conhecimento sobre proteção de dados pessoais e medidas de segurança, estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, e ouvir os agentes de tratamento (controlador e operador) e a própria sociedade em matérias de interesse relevante”, conclui.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.