O webinar foi realizado na última quinta-feira, 3
O Ibracon – Instituto dos Auditores Independentes do Brasil realizou na última quinta-feira, 3, o 25º Ibracon Talks: Webinar: Lei Geral de Proteção de Dados - Cenário atual e desafios da implementação no ambiente brasileiro. O webinar, gratuito e aberto ao público, recebeu centenas de participantes de todo o Brasil.
Os apresentadores foram: Fabrício da Mota Alves, representante do Senado Federal nomeado para o Conselho Nacional de Proteção de Dados; Thiago Luís Sombra, sócio do Mattos Filho; e José Pela Neto, sócio de Risk Advisory da Deloitte.
Os bastidores de Brasília
O webinar teve início com a fala de Fabrício da Mota Alves, representante do Senado Federal nomeado para o Conselho Nacional de Proteção de Dados, que ressaltou, desde o início, a importância de se avaliar o que vem pela frente a partir da implementação da Lei no ambiente brasileiro. “Proteção de dados não é apenas uma discussão pura e simples do tratamento de dados pessoais em si, mas também de aspectos procedimentais, formais, com um olhar público”, explicou.
O advogado também destacou a necessidade de maior aclaramento sobre os detalhes que envolvem a implementação, considerando que “os processos administrativos terão quem vai impulsioná-los, julgá-los e terão também uma estrutura de funcionamento”, concluiu.
Para o Dr. Fabricio, estamos diante de um Direito Regulatório de Proteção de Dados muito forte, mas também, diante de uma confusão sobre a entrada em vigor da Lei que depende dos próximos passos do presidente da República. “Há muita incerteza pela frente. A composição da Autoridade é um fator de extrema importância para a eficácia desse sistema e que ainda está em aberto. Temos uma preocupação muito grande sobre o perfil desses servidores que vão assumir essa missão e essa é uma preocupação de todos nós, cidadãos”, concluiu.
Cenário desafiador
“Vivemos um momento no mínimo curioso. O Brasil vive um processo de ‘vai ou não vai’ em relação a esta Lei, as empresas tiveram algumas dificuldades agravadas pela pandemia, de se dar os últimos passos no processo de adaptação, várias tiveram que remanejar equipes e orçamentos, reduzir times, revisar jornada de trabalho e foram surpreendidas com a necessidade de fazer os ajustes finais até que a Lei entre em vigor”, contextualizou Thiago Luís Sombra, sócio do Mattos Filho, segundo painelista do webinar.
O advogado falou sobre algumas situações práticas que vão acabar mostrando o quanto o cenário é ainda incompleto e fragilizado em torno desse assunto. “Vamos supor que aconteça um incidente nas exatas proporções descritas na LGPD, depois de 17 de setembro, que é a data limite, com gravidade e severidade consideráveis, a Lei já está em vigor, então eu deveria procurar alguém a quem notificar, mas eu não tenho como cumprir a Lei, porque o Órgão a quem eu deveria comunicar, sequer foi constituído, porque embora o Decreto tenha sido publicado, não teve a nomeação da sua Autoridade”, explicou.
Sobre os desafios imediatos para as empresas, Thiago Sombra elencou, principalmente: 1) Direito dos titulares - os titulares vão começar a demandar as empresas para que digam quais são os dados que elas têm deles; 2) Transferências internacionais: há um cenário curioso sobre como essas transferências vão acontecer, porque o Brasil não é um país reconhecido por outros países por ter um nível de proteção de dados minimamente adequado; 3) Falta de diretrizes claras: hoje falta a orientação sobre os principais conceitos e premissas da Lei.
Thiago também mencionou as dúvidas que ainda envolvem o papel desta Autoridade e o que essa Autoridade fará exatamente. “Se vocês observarem as exigências do Decreto, elas são tantas, e por vezes, geram conflitos de interesses, que deverá ser pouco atrativa para que profissionais do setor privado ocupem as posições”. A remuneração também é vista pelo advogado como um fator crítico para que a posição seja ocupada por profissionais de alta performance.
A independência do Órgão também foi outro ponto desafiador apontado pelo debatedor, pois parte do requisito da União Europeia para que as empresas sejam consideradas adequadas à Lei é que a Autoridade de Proteção de Dados seja independente e autônoma. “Há muita desconfiança se este órgão, na forma como ele foi instituído, debaixo da Casa Civil, terá a independência e autonomia suficientes.
Para concluir, Thiago falou a importância de “não se ter duas réguas e duas medidas”, uma para o setor privado e outra para o setor público. “São raros os casos de órgãos de administração pública que têm o mínimo de adequação a essa Lei ou condição de assegurar transparência no tratamento e clareza sobre com quem compartilham os dados”.
Importância da proteção dos dados
José Pela Neto, sócio de Risk Advisory da Deloitte, terceiro e último painelista deste webinar, iniciou sua fala reforçando a importância de uma Lei que trate da proteção dos dados, já que “muito tem sido feito com os nossos dados, muitos dos nossos dados estão distribuídos em diversas organizações, sem termos a clareza sobre a sua utilização”.
O debatedor falou sobre o Programa de Privacidade e sobre os seis pontos principais de atenção para as empresas, independente do seu estágio de maturidade. “1. Entender quem são as personas, os titulares dos dados com os quais a empresa se relaciona; 2. Entender quais dados são coletados, como são coletados e tratados – governança e proteção do dado; 3. Sistemas de armazenamento dos dados e para que seja feito o relacionamento com o titular – sistemas com controles, políticas e padrões de segurança; 4. Riscos e controles: avaliação de impactos, privacidade, classificação e controle sobre os dados, incluindo a visão de terceiros e que ele esteja em linha com as suas políticas. 5. Práticas de segurança da informação para proteção do dado, armazenamento e de monitoramento; e 6. Gestão de acessos.
Neto explicou que toda vez que a empresa for conduzir um novo projeto, utilizando dados, é necessária uma avaliação sobre se aqueles dados podem ser utilizados da forma pretendida. “Se ele foi coletado com um espectro de finalidade e eu quiser alterar essa finalidade, terei que me explicar para o titular do dado. Isso tem que ser transparente”.
Por fim, Neto comentou que a gestão de incidentes cibernéticos vem sendo aprimorada, com o entendimento cada vez mais amplo de que se a empresa não estiver atenta a dezenas de fatores, certamente será exposta. “A empresa que acha que a LGPD é uma bobagem, não é uma empresa que estará atuando no futuro”, concluiu.
Os painelistas responderam às diversas perguntas feitas pelo público, enriquecendo o debate sobre o tema.
Curso do Ibracon sobre LGDP
O Ibracon está trabalhando na produção de um curso sobre a lei Geral de Proteção de Dados. Informações sobre seu lançamento e inscrições poderão ser acompanhadas pelo Portal Ibracon e pelas redes sociais do Instituto.
Para acessar o vídeo com a íntegra do webinar, clique aqui.
Fonte: Ibracon, em 10.09.2020