A maior parte das empresas ainda mantém a responsabilidade por privacidade e proteção de dados atrelada a alguma outra área. Mas em meio ao aumento da complexidade e o uso cada vez mais intenso de dados e de novas tecnologias, isso pode representar um risco.
Pode soar repetitivo, mas os dados da pesquisa do Compliance ON TOP 2024 com as lideranças da área de Privacidade e Proteção de Dados (PPD), ainda apontam para uma área um tanto quanto “perdida” no organograma corporativo.
Inegavelmente, durante a fase inicial de implementação do programa de conformidade em PPD – que envolveu o mapeamento dos dados de posse e utilizados pela empresa em todas as áreas –, o estabelecimento de uma governança para o uso de dados, assim como o de novas políticas e processos (além da adequação das já existentes) ligados à LGPD (que entrou em vigor em setembro de 2020), esteve, na maioria das empresas, nas mãos da área de Compliance e, em menor escala, sob controle do departamento jurídico. Vale destacar também que, em todo esse processo de implementação, as empresas receberam muito suporte de escritórios de advocacia e de consultorias especializadas.
Ainda hoje, muitas empresas e profissionais enxergam Privacidade e Proteção de Dados como uma disciplina de Compliance e, como aponta o Marco Antonio Costa Silva, Gerente de Risco e LGPD da GB Guanabara Participações, controladora de um dos maiores grupos de transporte coletivo do País, a função de liderar a agenda acaba aparecendo como atribuição do Chief Compliance Officer. De acordo com dados da pesquisa deste ano do Compliance ON TOP com profissionais de Compliance nas empresas, 58,5% dos respondentes dizem terem sido eles mesmos, ou alguém da área de Compliance, indicados como DPO da empresa. “Minha percepção é a de que as empresas ainda entendem (PPD) mais como uma necessidade legal, como tantas outras, e não como um assunto estratégico e de suma importância dentro de suas operações”, corrobora Carla Regina Baptista de Oliveira, Chief Legal & Privacy Officer da AACD, uma das mais conhecidas instituições de terceiro setor no Brasil.
Superada a fase mais crítica da implementação – mais de 80% dos respondentes acreditam ter concluído esse processo há mais de um ano – o mercado parece viver uma espécie de entressafra à espera de fatos novos que levem as empresas a retomarem a atenção a essa agenda sob uma nova perspectiva, a da materialização dos riscos. “Infelizmente, em muitas empresas a área de PPD só consegue crescer ou se posicionar após um incidente com dados pessoais ou de uma fiscalização da autoridade”, lamenta Humberto De Jesus Ortiz Rodriguez, Legal Data & Privacy Sr. Manager e DPO da Whirlpool, dona das marcas Brastemp e Consul, para América Latina. Para ele, o desenvolvimento de regulamentações por parte da Autoridade Nacional de Proteção de Dados (ANPD), regulador do tema no país, pode apoiar neste sentido, ressaltando a importância e a necessidade da área para as empresas, em um processo similar ao que aconteceu com a própria área de Compliance. Hoje, é razoável dizer que existe, em boa parte do mercado, descrença em relação ao assunto. “Precisamos de ações mais enérgicas da ANPD para gerar receio e para que a área de PPD possa ser cada vez mais necessária e valorizada”, acredita Gustavo Godinho, DPO da empresa de apostas Blaze. É algo que já vem acontecendo de forma mais frequente e intensa na Europa, por exemplo, com multas de dezenas e até, não raro, centenas de milhões de euros, sendo aplicadas pelas autoridades regulatórias, em especial contra empresas de tecnologia.
Até que isso aconteça por essas bandas, é bem possível que na maioria dos casos a área continue atrelada a outras, em especial ao Compliance e ao Jurídico, o que pode trazer riscos em um futuro no qual a tecnologia vai ganhando em complexidade e sofisticação e os riscos gerados por ela, também. Na pesquisa deste ano, apenas 15,5% dos respondentes nas empresas dizem atuar exclusivamente com os temas de PPD. É um percentual ainda menor que os 18,5% que responderam o mesmo na primeira edição da pesquisa, em 2022. Embora ainda permaneça bastante alto, em 80,2%, o número de participantes da pesquisa que dizem contar com Comitês de Privacidade e Proteção de Dados nas suas empresas é 10 pontos percentuais menor do que em 2023. Também caiu o número de profissionais que disseram que é o DPO ou o Encarregado de Proteção de Dados que exercem a liderança desse comitê. Se no ano passado eles eram 58,7% da base, neste ano o percentual caiu para 50,5%, ao passo que a liderança exercida pelo Compliance nessas instâncias saltou de 14,7% para 24,2%. São pontos que merecem atenção. Para a Regional Data Protection Manager da empresa de serviços de pagamento Edenred, Aline Fuke Fachinetti, as habilidades exigidas dos profissionais da área já não são as mesmas de alguns anos atrás, quando o foco estava na implementação ou em gerenciamento de projetos. “Estamos em um estágio de aumento de maturidade e de discussões cada vez mais robustas, incluindo, também, outros desafios técnicos, como o de governança de uso responsável de IA”, alerta a executiva.
Agora, considerando o que temos hoje, a avaliação que os profissionais que lideram as áreas de PPD nas empresas fazem dos seus próprios programas é bastante positiva. Numa escala de 1 até 10, 29,9% dos respondentes atribuíram nota 8 e outros 27,1% nota 9 para a maturidade dos seus programas de PPD. A nota média considerando todos os respondentes foi de 7,7.
Da base de respondentes que formam a pesquisa neste ano, 83,2% dizem operar como controladores de dados e 25,8% dizem se enquadrar na Resolução CD/ANPD Nº 2/2022 para agentes de tratamento de pequeno porte.
Em relação ao tamanho das equipes dedicadas à PPD nas companhias, as equipes com duas pessoas atuando com o tema nas empresas apresentaram crescimento substancial de 10 pontos percentuais, para 28,7% dos respondentes. Mas foi o único grupo que viu avanço na pesquisa. Em todos os outros grupos, seja de equipes com uma pessoa, seja de outras com mais de cinco, houve queda de participação.
O orçamento também segue baixo, com quase 80% dos respondentes dizendo trabalhar com budgets de até 999 mil ao ano para a área, ante 71,2% que responderam o mesmo no ano passado. Ao mesmo tempo, os orçamentos anuais entre R$ 1 milhão e R$ 4,9 milhões perderam mais de 10 pontos percentuais de participação na base da pesquisa. Em relação ao ano anterior, 52,8% disseram que ele está estável e 29,2% que o budget está maior ou muito maior neste ano.
A pesquisa do Compliance ON TOP 2024 com profissionais de PPD também trouxe uma piora em alguns indicadores relacionados com a execução de procedimentos críticos para PPD, com destaque (negativo) para a Análise de Criticidade de Terceiros, o Privacy by design, e a Política de retenção de dados, todos com queda superior a cinco pontos percentuais. Do lado positivo, a due diligence em terceiros, realizada periodicamente, avançou de 69,6% para 75,2% em 2024. O estabelecimento de uma frequência periódica para o ciclo de auditorias do programa de PPD é uma realidade em 61,2% das empresas participantes, sendo que em 58% desses casos, a periodicidade é anual; em 24% a cada dois anos ou mais. Mas para 18% dos profissionais o ciclo de auditoria é de seis meses ou menos.
Por fim, em relação às bases legais mais escolhidas pelos profissionais nas empresas, a obrigação legal segue sendo a mais acionada pelos DPOs, com o legítimo interesse assumindo a segunda posição entre as bases preferidas dos profissionais, com 62% de menções. A base legal de execução de contrato, que no ano passado ficou em segundo lugar entre as mais utilizadas, com 72,2%, viu sua participação despencar neste ano, para 59,8%, bem próximo do percentual alcançado pelo uso da base de consentimento, que marcou 58,7% neste ano.
Já em relação ao uso de dados sensíveis, apesar de uma queda considerável em relação ao uso de cumprimento de obrigação legal, de 90,5% em 2023, para 79,3% em 2024, ela segue sendo a base mais utilizada nessas situações, seguida pelo consentimento, com 70,1% de menções.
Gráficos
Conheça o Curso de Proteção de Dados e Governança de Inteligência Artificial + Dupla Certificação.
Artigo publicado originalmente no Anuário Compliance ON TOP 2024 com o título ‘Sem um “quadrado” para chamar de seu’.
Imagem: Canva
