Pequenas empresas estão despreparadas para lei de proteção de dados
Um levantamento da ICTS Protiviti que as MPEs estão despreparadas para atender aos requisitos da LGPD.
Na primeira versão do mapeamento, divulgado em novembro de 2019, das 61 MPEs do universo de 104 empresas pesquisadas, 44 não haviam iniciado o mapeamento de dados pessoais sensíveis, que é uma das principais exigências da Lei. Na segunda versão do estudo, que acaba de ser finalizado, das 136 micro e pequenas empresas participantes de um universo total de 192 organizações respondentes, 101 delas não iniciaram o mapeamento. Ou seja, no universo anterior, 72% não estavam enquadradas e, no atual, o percentual aumentou para 75%.
A pesquisa também aponta que as micro e pequenas empresas estão mais atrasadas na corrida pela adequação se comparado às empresas de maior porte. A maior diferença identificada está na adequação tecnológica, registrando que 95% não está em conformidade em relação à segurança das informações, questão que possui maior maturidade em grandes corporações.
Outros dados da pesquisa que chamam a atenção se referem à estrutura para proteção de dados e à gestão do tratamento do dado. Nestes quesitos, 81% e 83% seguem sem adequação. Além disso, 84% não mapearam suas bases legais e 81% não capacitaram ainda seus colaboradores em relação às novas regras.
Segundo André Cilurzo, especialista em LGPD e diretor associado da ICTS Protiviti, há muito o que se fazer neste nicho de empresas e o adiamento da entrada da Lei em vigor não pode ser uma justificativa para postergar as atividades, que devem ser iniciadas desde já. A aplicação da lei, numa decisão polêmica, em função da pandemia, foi postergada por uma Medida Provisória para maio de 2021, mas ainda aguarda para ser convertida em Lei, o que não significa que a regra pode vir a valer ainda em agosto desse ano.
"Como orientação para a jornada de adequação à LGPD, o ideal é criar um grupo multidisciplinar para realizar um diagnóstico da empresa, mapeando as áreas, processos, sistemas e profissionais que atuam ou podem vir a atuar com dados pessoais. O próximo passo envolve a Tecnologia da Informação, que deve avaliar o ambiente da empresa, como servidores, redes e dispositivos por onde trafegam e ficam armazenados os dados pessoais. Adicionalmente, as empresas precisarão monitorar continuamente o nível de proteção, avaliando constantemente possíveis vazamentos", explicou Cilurzo.
O executivo também alerta que, na etapa de aspectos legais, é necessário que as empresas revisem os documentos e dados já utilizados e os readéquem a esta nova realidade. As micro e pequenas empresas da amostra são dos segmentos de tecnologia da informação, serviços profissionais diversos, saúde, educação, agropecuária e construção civil.
O levantamento da ICTS Protiviti reuniu informações coletadas a partir de interações de empresas no Portal LGPD desde 10 de agosto de 2019. Na pesquisa geral, que conta com empresas de diferentes portes, das 192 companhias respondentes, 84% seguem sem uma diretriz clara sobre a adequação.