Empresas têm contratado avaliações de risco para novos produtos e serviços, atendimento a titulares e interface com autoridades
Por Alexandre Aragão
Em 2021, projetos de adequação à Lei Geral de Proteção de Dados (LGPD) foram uma demanda recorrente aos escritórios de advocacia. Apesar de muitas empresas ainda estarem nos primeiros passos desta jornada, neste ano os escritórios passaram a ter novos pedidos relacionados à LGPD, por parte de clientes que estão adiantados no processo.
São serviços como avaliações de risco, documentação e avaliação de processos, atendimento a titulares de direitos e interface com autoridades — da Secretaria Nacional do Consumidor (Senacon) à Autoridade Nacional de Proteção de Dados (ANPD), passando pelo Ministério Público e pelo Poder Judiciário.
“Tem empresas em diferentes estágios no processo de adequação”, diz Douglas Leite, do escritório Licks Attorneys. “Eu não acho que existe nenhuma empresa hoje que já se adequou, porque esse não é um processo ‘plug and play’. Você empreende os esforços, mas precisa se manter adequado de forma constante.”
Para Fernando Bousso, sócio e head de tecnologia, privacidade e proteção de dados do escritório Baptista Luz, existem atualmente “duas grandes frentes de trabalho: consultoria sob demanda e uma atuação como encarregado externo, como ‘DPO [data protection officer] as a service’, uma consultoria mais pró-ativa de conduzir o monitoramento”. No ano passado, ele liderou mais de 150 projetos de adequação.
Adriano Mendes, sócio do Assis e Mendes, diz que as demandas iniciais no escritório dele datam de 2018, quando a lei ainda estava sendo debatida no Congresso Nacional. “Nossos primeiros clientes foram multinacionais de origem europeia”, afirma. “São empresas que começaram a analisar o que as matrizes faziam lá fora em relação à GDPR [lei europeia de proteção de dados europeia] e o que poderia se aplicar aqui à LGPD.”
Mendes opina que a lei entrou em vigor ainda com muitas questões em aberto. Para ele, isso fez com que faltasse “gente preparada, que entenda do assunto e possa de verdade ajudar as empresas a fazer adequação”. O advogado também aponta haver um ruído no mercado que assusta os clientes, já que diferentes escritórios ”têm propostas de R$ 5 mil, R$ 60 mil ou de R$ 5 milhões”.
Nesse sentido, os entrevistados ressaltam a importância do treinamento e da conscientização durante o processo de adequação, que deve ser feito para todos os colaboradores e renovado periodicamente. Esse processo educacional inclui também os jurídicos internos, que muitas vezes são especializados nas áreas de atuação e não têm conhecimentos profundos sobre a LGPD.
“Há clientes que preferem fechar o pacote de treinamento, outros preferem trabalhar com banco de horas, com uma flexibilidade maior”, diz Fernando Bousso, do Baptista Luz. “Esse monitoramento e essa conscientização trará avanços em outras frentes. A partir do momento em que você avalia, é possível identificar potenciais riscos. Naturalmente, elas se transformam “
Bousso dá um exemplo: “A lei é baseada em risco, então a organização precisa se responsabilizar ao menos em parte por seus parceiros de negócios. A gente apoia clientes na avaliação de fornecedores e também na negociação de contratos. Isso é importante para reforçar o seu programa.”
Para Adriano Mendes, o conhecimento e treinamento sobre proteção de dados se tornará mais comum nas empresas, algo que ainda não ocorreu exatamente pelas lacunas na aplicação da LGPD, que tem trechos ainda a serem regulamentados. “Depois disso, vai ser um assunto comum e não vamos precisa ter especialistas sendo requisitados para coisas simples.”
LGPD, vazamentos de dados e ransomware
Situações cada vez mais frequentes, os sequestros [ransomware] e vazamentos de dados são capazes de gerar prejuízos financeiros, operacionais e reputacionais às empresas. Além disso, a LGPD obriga que incidentes do tipo sejam comunicados à ANPD, que também poderá agir e multar a companhia.
“Tive que fazer peticionamento para a ANPD no caso de um cliente que passou por um ciberataque”, conta Douglas Leite, do Licks Attorneys, ao narrar um episódio de ransomware. “Tem que informar a extensão do dano, as medidas que você tomou para conter os danos. Dentro desse processo a autoridade pede mais informações para entender se é o caso de aplicar alguma penalidade ou não.”
Ele conclui: “O problema desses episódios de ransomware é que em todas as vezes a empresa é pega de surpresa. Vira um Deus nos acuda.”
Adriano Mendes, sócio do Assis e Mendes, concorda e destaca a importância de medidas preventivas e de processos pré-estabelecidos: “Todo mundo sabe que pode acontecer, mas ninguém espera um ataque na segunda-feira às duas da tarde. E dar respostas precipitadas pode custar tão caro quanto dar respostas erradas.”
Com o prazo de dois dias úteis, “o que você faz é uma comunicação parcial”, afirma Douglas Leite. “O importante é transmitir para a ANPD disponibilidade e boa vontade, uma postura colaborativa.”
“Também temos feito gestão de incidentes, o que ainda não foi muito bem explicado na nossa lei”, diz Mendes. “Nós copiamos pontos da lei europeia, mas a LGPD é menos detalhada. A gente está pegando um assunto que é novo no Brasil e tendo que trabalhar em muitos casos com prazos menores do que os da Europa.”
Fonte: JOTA PRO Tributos