Durante a 10ª Edição do Security Leaders São Paulo, realizado entre 29 e 30 de outubro, no Hotel Transamérica São Paulo, especialistas, CISOs e a comunidade de cybersecurity demonstrou certa descrença sobre a composição dos membros da ANPD. No entanto, líderes de segurança da informação, advogados, DPOs e vendors do mercado seguem num esforço de adequação às regras da LGPD, independente da proximidade da sua entrada em vigor versus a morosidade na composição da Autoridade, com papel de orquestrar e interpretar os dispositivos da lei.
Paralelamente, nesta quarta-feira (30/10), o deputado Carlos Bezerra (MDB/MT), apresentou à Câmara dos Deputados o PL 5762/2019, que altera a Lei nº 13.709, de 2018, prorrogando a data da entrada em vigor de dispositivos da Lei Geral de Proteção de Dados Pessoais – LGPD – para 15 de agosto de 2022. A justificativa, segundo o PL, é: “Embora os benefícios advindos da LGPD sejam inquestionáveis, é necessário tecer algumas considerações sobre a sua implementação prática. Isso porque a nova lei estabeleceu, como marco inicial de vigência dos seus dispositivos mais relevantes, o mês de agosto de 2020. Ocorre que, hoje, a pouco mais de dez meses da entrada em vigor da LGPD, apenas uma pequena parcela das empresas brasileiras iniciou o processo de adaptação ao novo cenário jurídico”.
O PL segue em consulta pública com opiniões a favor ou contra, onde os participantes podem expressar a sua opinião sobre o impacto caso o prazo seja realmente prorrogado. A Security Report ouviu alguns especialistas, institutos, CISOs sobre o assunto.
Segundo o IBRASPD (Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados) – instituição provedora de padrões de proteção de dados – a prorrogação pode impactar em diversos aspectos, com desdobramentos no cenário nacional e internacional, tanto para as empresas, donos dos dados, credibilidade para o País, e também consequências aos profissionais do ecossistema de cibersegurança.
De acordo com Alex Amorim, presidente do IBRASPD, para as empresas a prorrogação atende um clamor de uma parcela considerável ou de boa parte das empresas, pois – diferente da Europa que teve 2 ciclos de investimento (data de 14 de abril de 2016 para entrar em vigor em 25 de maio de 2018) para investir no Brasil – tivemos apenas 1 ciclo (28 de dezembro de 2018 para entrar em vigor 16/08/2020) desde a edição da MP. Ou seja, o prazo foi muito apertado desde a edição da MP presidencial até o prazo para a implantação. Vale ressaltar que em 2018 por ser em dezembro as empresas já não tinham tempo hábil para rever os orçamentos. Além disso, empresas com relacionamentos internacionais, podem perder contratos com países da UE por falta deste compliance nacional.
Sob o aspecto dos profissionais, o Instituto avalia que pode causar certa frustração porque muitos buscaram certificações caríssimas cobradas em dólar. E, do ponto de vista do titular (dono do dado), a LGPD se baseia na GDPR e a origem de tudo são os direitos dos titulares de dados que são pessoas físicas. “Entendemos uma possível frustração dos titulares, uma vez que os dados continuarão sendo tratados com descaso prejudicando assim a privacidade dos cidadãos”, comenta Alex Amorim.
“Entendemos que o Brasil poderá ter uma imagem negativa diante da comunidade internacional, caso realmente haja uma segunda prorrogação (data inicial 20 de fevereiro de 2020)”, aponta Amorim quando destaca que o IBRASPD seguirá com o compromisso de criar grupos de estudos com times técnicos a fim de nortear os times técnicos e empresas frente à LGPD.
Para Marcel Leonardi, advogado da Pinheiro Neto Advogados, a prorrogação da vigência da lei é incompatível com o cenário da economia moderna, pois todas as empresas lidam com dados pessoais e precisam de segurança jurídica para atuar e inovar. O advogado Fabrício Mota Alves, especialista em Direito Digital e sócio do escritório Garcia de Souza Advogados, coordenador da área de Proteção de Dados, Tecnologia e Inovação, compactua com Leonardi, pois se houver a prorrogação pode gerar um descrédito para o Brasil diante de investimentos internacionais, impactando no cenário macroeconômico do País.
Ouvimos alguns CISOs que atuam em organizações internacionais e para eles o impacto pode ser bastante negativo, justamente por questões relacionadas ao consentimento e outros dispositivos da GDPR.
A consultora e líder da Womcy no Brasil – ONG de mulheres em cybersecurity global – pondera: “o que é pior: prorrogar ou ter inúmeras notícias de autuação de empresas por vazamento, repercutindo no exterior? Como consultora eu acho que as empresas precisam se preparar sim o mais rápido possível, mas a criação do PL e a aprovação da prorrogação dependem do interesse das empresas em continuarem como estão”.
