O caminho da adequação à LGPD, para muitas organizações, ainda parece ter obstáculos a serem superados.

Diversas pesquisas apontam o despreparo das empresas brasileiras com relação à conformidade com a Lei Geral de Proteção de Dados (LGPD), com percentuais acima de 80% no número de instituições que ainda não estão adaptadas à legislação. Um estudo feito pelo Painel TIC, por exemplo, aponta que somente 17% das organizações contam com um DPO (Data Protection Officer), ou seja, um Encarregado de Dados, entre seus colaboradores. Este seria um quesito relevante para a adequação. 

Segundo o especialista em segurança da informação, Fabio Ferreira, sócio consultor da Lozinsky Consultoria, existe um desafio no equilíbrio do orçamento com o cumprimento da LGPD. Ou seja, as considerações financeiras são um fator preponderante para entender a demora na tomada de medidas necessárias para a adequação à lei.

“As empresas não têm o hábito de investir muito dinheiro nesse tema, o que parece gerar mais dificuldade de compreensão sobre a importância de entrar em conformidade”, explica.

Erros comuns 

Fabio Ferreira conta que um dos primeiros erros das organizações no que diz respeito à adequação à lei está ligado aos excessos durante o projeto.

“Algumas empresas tendem a entrar num projeto muito longo de LGPD e nunca mais sair dele”, diz.

Outro equívoco seria o foco maior inicial na adequação jurídica, deixando os conceitos de segurança da informação e do interno da organização e do uso dos dados em segundo plano.

“Todo mundo teve a política de privacidade, tratou de cookie e de vários aspectos que são considerados um pouco mais legais, como termo de consentimento. Mas muitos se esqueceram e relegaram um pouco o aspecto técnico, que está mais ligado a realmente melhorar o controle de acesso das aplicações, segregar quem pode ver determinadas informações”, diz.

Que ainda não existe fiscalização consistente do cumprimento da lei por parte do governo é outra razão que pode estar fazendo as empresas adiar os investimentos em conformidade. O especialista também usa o exemplo da área da saúde, onde os dados a serem protegidos são sensíveis, com potencial de grande impacto na vida dos envolvidos em caso de vazamento.

“Vi algumas organizações de saúde relegando a questão da LGPD somente a um projeto e esquecendo de envolver a organização como um todo. O projeto não pode focar somente nas pessoas que trabalham com dados. A organização de saúde precisa estar consciente dos riscos e do porquê a LGPD é importante. E acho que isso é um pouco o que gerou essa dificuldade de engajar médicos, enfermeiros e outros profissionais que trabalham na frente”, avalia Fabio.

Mas o que fazer para mitigar esses erros? A resposta é simples: perguntar a quem entende do assunto — aliás, esse conselho funciona basicamente para qualquer desafio na vida.

“Na maior parte das vezes, é fundamental buscar uma assessoria na implementação de projetos dessa natureza. Faz toda a diferença contar com pessoas capacitadas, que já tenham uma experiência, instrumentos que sejam mais facilmente aplicáveis ao segmento e ao setor que esteja sendo objeto de adequação da LGPD”, diz Fabio, e ele lembra:

“Quem fez muito projeto de maior complexidade pode gerar ganhos, porque já tem modelos prontos. São coisas que já estão relacionadas ao segmento, então, isso acaba por facilitar o trabalho e, consequentemente, diminuir os erros.”

Webinar completo e gratuito sobre "Cibersegurança e a LGPD". Assista agora!

A passos lentos 

“A LGPD foi uma grande fomentadora de transformações em segurança da informação por conta da aplicabilidade de uma eventual multa que ela traria. Então, organizações que nunca haviam se preocupado com segurança da informação acabaram por direcionar investimentos, esforços, contratar equipe e realmente assimilar que a ideia de exposição de dados tem um risco para a empresa”, diz Fabio Ferreira. 

Apesar de o cenário ainda estar longe do ideal, Ferreira vê pelo menos o básico sendo feito.

“A maior parte das empresas hoje já tem um formulário de consentimento ou política de privacidade publicado em seu website e informa sobre o uso de cookies. Mas, embora seja verdade que houve um processo de amadurecimento em relação à lei, isso muitas vezes foi feito de forma incipiente. Muitos não entendiam como se concentrar em lidar com a legislação e a deixaram para depois”, finaliza o especialista.