LGPD: quais são as principais demandas de empresas para advogados

Empresas têm contratado avaliações de risco para novos produtos e serviços, atendimento a titulares e interface com autoridades

Por Alexandre Aragão

Em 2021, projetos de adequação à Lei Geral de Proteção de Dados (LGPD) foram uma demanda recorrente aos escritórios de advocacia. Apesar de muitas empresas ainda estarem nos primeiros passos desta jornada, neste ano os escritórios passaram a ter novos pedidos relacionados à LGPD, por parte de clientes que estão adiantados no processo.

São serviços como avaliações de risco, documentação e avaliação de processos, atendimento a titulares de direitos e interface com autoridades — da Secretaria Nacional do Consumidor (Senacon) à Autoridade Nacional de Proteção de Dados (ANPD), passando pelo Ministério Público e pelo Poder Judiciário.

“Tem empresas em diferentes estágios no processo de adequação”, diz Douglas Leite, do escritório Licks Attorneys. “Eu não acho que existe nenhuma empresa hoje que já se adequou, porque esse não é um processo ‘plug and play’. Você empreende os esforços, mas precisa se manter adequado de forma constante.”

Para Fernando Bousso, sócio e head de tecnologia, privacidade e proteção de dados do escritório Baptista Luz,  existem atualmente “duas grandes frentes de trabalho: consultoria sob demanda e uma atuação como encarregado externo, como ‘DPO [data protection officer] as a service’, uma consultoria mais pró-ativa de conduzir o monitoramento”. No ano passado, ele liderou mais de 150 projetos de adequação.

Adriano Mendes, sócio do Assis e Mendes, diz que as demandas iniciais no escritório dele datam de 2018, quando a lei ainda estava sendo debatida no Congresso Nacional. “Nossos primeiros clientes foram multinacionais de origem europeia”, afirma. “São empresas que começaram a analisar o que as matrizes faziam lá fora em relação à GDPR [lei europeia de proteção de dados europeia] e o que poderia se aplicar aqui à LGPD.”

Mendes opina que a lei entrou em vigor ainda com muitas questões em aberto. Para ele, isso fez com que faltasse “gente preparada, que entenda do assunto e possa de verdade ajudar as empresas a fazer adequação”. O advogado também aponta haver um ruído no mercado que assusta os clientes, já que diferentes  escritórios ”têm propostas de R$ 5 mil, R$ 60 mil ou de R$ 5 milhões”.

Nesse sentido, os entrevistados ressaltam a importância do treinamento e da conscientização durante o processo de adequação, que deve ser feito para todos os colaboradores e renovado periodicamente. Esse processo educacional inclui também os jurídicos internos, que muitas vezes são especializados nas áreas de atuação e não têm conhecimentos profundos sobre a LGPD.

“Há clientes que preferem fechar o pacote de treinamento, outros preferem trabalhar com banco de horas, com uma flexibilidade maior”, diz Fernando Bousso, do Baptista Luz. “Esse monitoramento e essa conscientização trará avanços em outras frentes. A partir do momento em que você avalia, é possível identificar potenciais riscos. Naturalmente, elas se transformam “

Bousso dá um exemplo: “A lei é baseada em risco, então a organização precisa se responsabilizar ao menos em parte por seus parceiros de negócios. A gente apoia clientes na avaliação de fornecedores e também na negociação de contratos. Isso é importante para reforçar o seu programa.”

Para Adriano Mendes, o conhecimento e treinamento sobre proteção de dados se tornará mais comum nas empresas, algo que ainda não ocorreu exatamente pelas lacunas na aplicação da LGPD, que tem trechos ainda a serem regulamentados. “Depois disso, vai ser um assunto comum e não vamos precisa ter especialistas sendo requisitados para coisas simples.”

LGPD, vazamentos de dados e ransomware

Situações cada vez mais frequentes, os sequestros [ransomware] e vazamentos de dados são capazes de gerar prejuízos financeiros, operacionais e reputacionais às empresas. Além disso, a LGPD obriga que incidentes do tipo sejam comunicados à ANPD, que também poderá agir e multar a companhia.

“Tive que fazer peticionamento para a ANPD no caso de um cliente que passou por um ciberataque”, conta Douglas Leite, do Licks Attorneys, ao narrar um episódio de ransomware. “Tem que informar a extensão do dano, as medidas que você tomou para conter os danos. Dentro desse processo a autoridade pede mais informações para entender se é o caso de aplicar alguma penalidade ou não.”

Ele conclui: “O problema desses episódios de ransomware é que em todas as vezes a empresa é pega de surpresa. Vira um Deus nos acuda.”

Adriano Mendes, sócio do Assis e Mendes, concorda e destaca a importância de medidas preventivas e de processos pré-estabelecidos: “Todo mundo sabe que pode acontecer, mas ninguém espera um ataque na segunda-feira às duas da tarde. E dar respostas precipitadas pode custar tão caro quanto dar respostas erradas.”

Com o prazo de dois dias úteis, “o que você faz é uma comunicação parcial”, afirma Douglas Leite. “O importante é transmitir para a ANPD disponibilidade e boa vontade, uma postura colaborativa.”

“Também temos feito gestão de incidentes, o que ainda não foi muito bem explicado na nossa lei”, diz Mendes. “Nós copiamos pontos da lei europeia, mas a LGPD é menos detalhada. A gente está pegando um assunto que é novo no Brasil e tendo que trabalhar em muitos casos com prazos menores do que os da Europa.”

Fonte: JOTA PRO Tributos

Galeria de Imagens
Outras Notícias
A isenção de IRRF de investidores não residentes em Fundos de Investimento em Participações
Carf pode demorar a aplicar decisão do STJ sobre stock options
SDI-1 vai julgar se há 'autonomia de vontade' em pejotização com salário elevado
Carf permite correção monetária de créditos de Cofins
Imunidade do ITBI em integralização de imóveis ao capital social
Aspectos tributários e contábeis do mútuo e do adiantamento para futuro aumento de capital
STJ nega contradição e mantém tese sobre tributação do stock option plan
STJ mantém IRPJ, CSLL, PIS e Cofins sobre descontos do PERT
STJ: Limite de 20 salários-mínimos e a indefinição sobre a modulação de efeitos. Embargos de Divergência da Fazenda Nacional inauguram novo debate sobre a modulação do Tema 1.079 do STJ
Carf julga desfavoravelmente à empresa caso sobre recebível de máquina de cartão
Ao insistir na falácia da equivalência patrimonial, o Brasil descumpre tratados contra a dupla tributação
STJ diverge sobre propósito negocial da empresa-veículo que gera ágio interno
ICMS-Difal não compõe a base de cálculo de PIS e Cofins, define STJ
Primeira Turma afasta IR na fonte sobre simples transferência de cotas de fundo de investimento a herdeiros
É preciso reiterar: built to suit não pode ser revisado
STJ nega restituição de ICMS-ST por distribuidora de combustível
Opinião - Tema 1.348 do STF: a imunidade do ITBI na integralização de capital social
ISS compõe base de cálculo do IRPJ e da CSLL quando apurados pelo regime do lucro presumido
Fundos de investimento, responsabilidade civil e prescrição: REsp 2.139.747/SP
Receita entende que parcela do crédito presumido de ICMS deve ser tributada pelo Imposto de Renda
Estados trocam incentivos fiscais de ICMS para empresas fugirem de tributação federal