Para Alexandre Bonatti, prazo atual é factível para que empresas consigam entrar em compliance com a lei
Em 30 de outubro, o deputado federal Carlos Bezerra (MDB/MT) protocolou o Projeto de Lei (PL) 5762/2019, que altera a Lei nº 13.709, mais conhecida como Lei Geral de Proteção de Dados (LGPD) para prorrogar sua data da entrada para 15 de agosto de 2022. Para Alexandre Bonatti, diretor de Engenharia de Sistemas da Fortinet, a extensão do prazo é prejudicial para os consumidores brasileiros.
O deputado apresentou o PL em razão de pesquisas que apontam que as empresas ainda não estão preparadas para a LGPD. Já Bonatti acredita que o prazo atual – marcado para 15 de agosto de 2020 – é factível para as empresas se adaptarem. “Cada empresa tem sua realidade, mas é preciso iniciar”, explica.
Segundo ele, a Autoridade Nacional de Proteção de Dados (ANPD), entidade pública que vai ser a responsável pela aplicação da LGPD, não deverá ter caráter punitivo, mas educativo. Dessa forma, as empresas que se esforçam para seguir a legislação não devem ser gravemente punidas em um primeiro momento.
Como a LGPD surgiu baseada na lei de proteção de dados europeia – a GDPR – Bonatti acredita que a ANPD vai seguir a mesma linha. “As empresas que vão ser multadas são aquelas em que seu negócio é baseado estritamente nos dados”, afirma. Em seu primeiro ano de operação, a GDPR causou € 56 milhões em multas, sendo que € 50 milhões foram só para o Google.
Desafios das empresas
Se o prazo para adequação é possível, só o é se as empresas começarem a se planejar agora. De acordo com o executivo da Fortinet, as companhias hoje estão contratando consultorias jurídicas para adequar a parte contratual – a que trata do consentimento dos dados – mas não estão prestando tanta atenção nos processos e tecnologia.
Bonatti diz que é preciso treinar os processos de resposta a vazamentos. Analisar o que ocorreu e qual foi a vulnerabilidade explorada é o primeiro passo, seguido de uma comunicação interna para que os funcionários não espalhem boatos. Depois, a empresa precisa seguir o check list de ações disposta na própria LGPD.
Ele afirma que é preciso um programa de conscientização de funcionários para que eles entendam a importância de seguir as normas de segurança. “Se este programa não for regular, ou seja, se for feito apenas eventualmente, a autoridade vai considerar que houve negligência”, explica.
As empresas também não estão revendo sua infraestrutura de cibersegurança. “Como a LGPD não dispõe de padrões mínimos, nós estamos apresentando as melhores práticas do mercado”, explica. Além disso, cerca de 150 startups já surgiram para prestar serviços para a LGPD, diz ele. “É possível ainda que surja uma empresa de certificação para certificar o compliance de outras companhias com a LGPD.”
Mesmo com os desafios, Bonatti defende que a prorrogação do prazo da LGPD não é necessária. Para ele, as empresas podem contar com o apoio de fornecedores e da própria ANPD, que, novamente, vai surgir como educadora.
Fonte: iPnews
12 de novembro de 2019
