GDPR entra em vigor e aquece mercado de consultorias no Brasil


Novas regras de proteção a dados pessoais da União Europeia começaram a valer hoje. Metade das empresas, inclusive na Europa, não se diz preparada. Por aqui, consultorias, integradoras e escritórios de advocacia têm aumento em consultas e pedidos.

Infographic vector created by Macrovector - Freepik.com
Infographic vector created by Macrovector – Freepik.com

As empresas brasileiras deixaram para se adequar à nova regulação de proteção de dados pessoais europeia (GDPR) na última hora, que entrou em vigor hoje (25). A maioria sequer começou a tomar medidas, e correm atrás do que precisa ser feito. Mas escritórios de advocacia e consultorias ressaltam que o trabalho é grande, podendo levar até um ano para quem ficou parado até o momento.

O escritório carioca VRA – Vinhas e Redenschi Advogados é um dos especializados em direito digital que viu a demanda crescer no último mês, um função da entrada em vigor da GDPR. Segundo um de seus associados, Sandra Rogenfisch, houve casos de clientes que já perderam contratos por não atenderem às novas normas. Para outros, a contratante europeia suspendeu a transferência de dados e deu prazo para se adequarem.

“As empresas europeias já nem discutem contrato se antes não houver comprovação da proteção dos dados por parte do fornecedor do serviço”, relata. A seu ver, muitas empresas precisam se adaptar, até aquelas que não negociam diretamente no mercado europeu ou fornecem serviços de processamento de dados a empresas do velho continente.

“Um site qualquer brasileiro que faça o rastreio dos hábitos do vistante por cookies, se o visitante for europeu ou residente lá, já pode ser enquadrado”, lembra.

Dois motivos impões ajustes nas políticas internas de proteção de dados. Primeiro, as sanções são altas – multas podem chegar a 4% da receita anual. Segundo, há um custo intangível que pode ser ainda mais alto. “O que está em jogo, caso haja vazamento, é a credibilidade, a reputação, a confiança do consumidor na marca e na empresa”, destaca. Por isso, lembra que o investimento feito para se adaptar é menor do que os “riscos indenizatórios ou de ações consumeristas”.

Falta muito

Adriei Gutierres, da Abes – Associação Brasileira de Software, conta que os associados estão sendo provocados pelos contratantes europeus a se atualizar. “Essas condições estão sendo cobradas pelas empresas. E se implementadas, aumentam custos. Para quem oferece serviços, têm de melhorar segurança, governança dos dados, medidas de proteção, adotar técnicas de criptografia”, elenca. Por suas contas, 20% dos serviços de TICs do Brasil são exportados para empresas europeias.

Para ele, as empresas demoraram a se mobilizar em torno do assunto por aqui, mas vão se adaptar. “As empresas brasileiras estão se adequando. É um processo que está sendo impulsionado pelas cláusulas contratuais padrão. Mas isso não é exclusivo dos brasileiros. Os próprios europeus ainda não estão adequados”, lembra.

A afirmação é comprovada por duas pesquisas recentes que mostram o despreparo generalizado para a chegada das novas regras. Lançado há duas semanas, o levantamento “The end of the Begining”, da IBM, contém dados de entrevistas com 1,5 mil executivos de companhias em diversos países – inclusive no Brasil.

Os números são alarmantes. Apenas 36% deles disseram que sua empresa estaria totalmente adequada às novas regras quando o GDPR entrasse em vigor. E ninguém pode dizer que foi pego de surpresa. A legislação foi aprovada pelo parlamento europeu em 2016. As entrevistas aconteceram em fevereiro e abril deste ano.

Outra pesquisa, conduzida pelo grupo alemão SAS, indica que apenas 46% das empresas que são afetadas pelo GDPR estariam completamente adequadas no primeiro dia de funcionamento da GDPR. A metodologia foi similar. Ouviu executivos de companhias, mas apenas na América do Norte e na Europa.

Entre as empresas norte-americanas consultadas, apenas 30% esperam cumprir o prazo. A União Europeia está um pouco mais preparada, com 53% das organizações confiantes de que cumprirão o prazo.

Mercado aquecido

Cristiano Duarte, gerente de Data Management e Inovação do SAS América Latina, conta que a procura por consultoria e soluções de adequação às normas cresceu no último mês. Com isso, crê que a situação no Brasil não seja muito diferente da vista nos EUA.

“As empresas estavam preparadas para um nível de exigência, agora têm que repensar como vão encarar a proteção a dados pessoais”, lembra. Uma grande dificuldade é o mapeamento das bases de dados, uma vez que essas podem estar espalhadas por diferentes níveis da corporação. “Empresas que passaram por fusões têm mais um desafio, encontrar os dados dos usuários espalhados”, diz.

Segundo ele, as empresas locais vão passar um bom tempo sem atender as especificações do GDPR. Como as regras são muitas, há necessidade de adaptar sistemas, mas também a cultura da empresa, para que nenhum funcionário seja o elo fraco de um possível vazamento, por exemplo.

“É preciso relacionar as bases, aplicar regras de geração de evidências para permitir auditorias de acesso aos dados. Grandes empresas terão um departamento de proteção de dados, com um data protection officer”, frisa.

Tempo necessário

Na Atos, também há percepção de que o processo de adaptação é longo. “Internamente, nós montamos uma força tarefa global em todos os 70 países em que temos presença. Passamos mais de um ano nos adequando”, diz Daniel Pinto, consultor jurídico da empresa no Brasil.

De origem europeia, a Atos começou a adaptar processos já em 2016. Agora, usa a experiência adquirida para revender consultoria sobre a chegada do GDPR. “A adequação não é simples, tem diversas etapas. Como envolver uma análise da empresa como um todo, não é possível estimar prazos para a adequação”, conta.

A Logicalis, que também faz consultoria e a integração tecnológica para quem se busca se adaptar, também percebeu aquecimento recente do mercado. “Estou percebendo uma movimentação tardia para buscar conformidade com a Lei. Tem uma correria recente para que se adaptem aos requisitos”, diz Rodrigo Suzuki, gerente de segurança da informação e continuidade de negócios.

Ele conta que clientes estão passando por fase de revisão de contratos. Contrantes estão exigindo conformidade com s a regras. “Empresas que já têm boa prática de segurança da informação já está com metade do caminho andado”, diz, lembrando que no Brasil há legislações como o Marco Civil da Internet, que pedem algum nível de segurança dos dados.

“Existem ajustes necessários para quem se adequou ao Marco Civil. O GDPR exige que o vazamento de dados deve ser comunicado às autoridades competentes. E tem que avisar as pessoas afetadas”, avisa. A quantidade de ajustes varia conforme o tamanho da empresa e seu nível de controle de uso dos dados. Mas ele estima que, hoje, uma empresa de grande porte precise de no mínimo 3 meses, até um ano, para chegar à conformidade.

Em outro ponto, todos concordam. As empresas de tecnologia que desejam fechar contratos na Europa, ou fornecer para subsidiárias de companhias europeias, já deveriam estar adaptadas. E mesmo quem não pensa nisso, deveria. A percepção é de que uma futura lei de proteção de dados pessoais brasileiras tenha muita semelhança com a GDPR. Eis um efeito colateral no Legislativo brasileiro. As novas normas europeias contribuíram para acelerar a tramitação dos dois projetos que tratam do assunto. Um no Senado (PL 330) e outro na Câmara (PL 4060). O primeiro já foi colocado em regime de urgência.

Anterior Lucro da Algar sobe 68,5% no 1º trimestre
Próximos Câmara e Senado se mobilizam para aprovarem leis de proteção de dados