Sign up to save your podcasts
Or
Share Episódio #375 – O estado da proteção de dados no Brasil
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #375 – O estado da proteção de dados no Brasil
Neste episódio comentamos a nova pesquisa “Privacidade e Proteção de Dados” do CETIC.br. Você irá descobrir o cenário atual de adequação das empresas brasileiras à LGPD e por que ele é preocupante.
Guilherme Goulart e Vinícius Serafim analisam os dados da mais recente pesquisa do CETIC.br sobre privacidade e proteção de dados no Brasil. A discussão aprofunda o nível de conformidade das empresas com a LGPD, revelando uma evolução tímida e práticas superficiais, como a baixa realização de inventário de dados. Abordando o tratamento de dados pessoais e dados sensíveis, o episódio debate a importância do encarregado de dados (DPO), a governança de dados, a segurança da informação e os riscos de incidentes de segurança, que afetam os direitos dos titulares. Assine nosso podcast, siga-nos nas redes sociais e deixe sua avaliação.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:00) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e, aqui comigo, está o meu amigo Vinícius Serafim. Tudo bem, Vinícius?
— Tudo bem, Guilherme. Olá aos nossos ouvintes e àqueles que nos acompanham pelo YouTube.
— O meu amigo, e o amigo de todos vocês que nos escutam também. O amigo de todos aqueles que estão aqui conosco. O Vini é um cara muito amigável. Sempre lembrando que, para nós, é fundamental a participação de todos e
(00:36) todas, por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo e-mail [email protected], no YouTube (youtube.com/segurancalegal), no Mastodon (@[email protected]) e, agora, no Bluesky. Siga-nos lá também no Bluesky, em @segurancalegal.bsky.social. Mas se você só colocar “Segurança Legal”, ele já vai achar. Siga o Vinícius em serafim.eti.br e eu, que vos falo, em direitodatecnologia.com.
(01:13) São os nossos domínios personalizados, né, Vinícius? Tem um macetezinho lá que você consegue fazer algo que seria próximo, naquela outra rede, que não é bem um verificado, mas talvez uma demonstração de que, pelo menos, você é dono daquele domínio. Já é alguma coisa. Temos também a nossa campanha de financiamento coletivo no Apoia.se, em
(01:38) apoia.se/segurancalegal. A gente sempre pede para que você considere apoiar um projeto de produção de conteúdo que está há 12 anos no ar.
— 12 anos no ar. 12, né? Em 2012 nós começamos.
— 12 anos no ar. Então, veja que a gente se esforça para manter o podcast no ar, e isso também passa pelo apoio dos ouvintes, que é bastante importante para nós. Então, considere também fazer o apoio.
— Não deixe de pagar a Netflix… Quer dizer, não, não deixa de pagar a Netflix, não!
— Aí não, Guilherme! Aí eu desisto, eu vou sair.
— Mas sabe que eu não assino mais
(02:18) Netflix, cara? Existe vida além da Netflix.
— Ah, poxa, mas tem coisa legal lá.
— Tem, eu fico pulando de um serviço de streaming para outro. E, claro, numa casa que tem criança, a coisa muda um pouco também.
— É verdade. Mas, enfim, até o… esqueci o nome do nosso ouvinte que comentou no grupo do Telegram sobre “Anéis de Poder”, de trocar o Twitter pelo Bluesky, e trocar o Twitter pelo “Anéis de Poder”. E eu respondi: “Olha, não pode ter Twitter na mesma frase, ou X na mesma frase, que tem ‘Anéis de Poder'”. Não se
(02:59) compara.
— Eu acho que foi o Israel, Vinícius, estou vendo aqui.
— Ah, o Israel. Beleza. Um abração para ti e para todos os nossos amigos lá do grupo do Telegram, que eu não sou tão presente lá no grupo.
— Mas eu estou tentando convencer o Guilherme a gente criar um servidor no Discord, mas isso está em discussão ainda.
— Eu te confesso que eu não gosto muito do Discord, mas eu sei que os jovens usam bastante. Então, se você está nos ouvindo e quer o servidor no Discord, nos avise que a gente cria.
(03:36) É fácil fazer isso, Vini?
— É fácil, fácil. A gente está usando para outras coisas, mas não para servidores abertos. Inclusive, Guilherme, tem o canal “palco”. Explica para nós o que é esse canal “palco”.
— Se a gente tiver o servidor no Discord e a galera entrar lá, o pessoal entra e a gente tem o chat, tudo igual. Pode ter para assuntos diferentes, para sugestão de temas, por exemplo. A gente pode botar coisas diferentes lá.
(04:06) É muito legal. O cara pode entrar lá e largar uma sugestão de tema. A gente pode ter lá dentro o canal VIP, e a gente revê um pouco esse funcionamento do grupo VIP. Então, dá para ter um canal VIP, dá para ter um canal aberto, público, e a gente pode ter, entre as diversas salas de bate-papo de voz, uma delas que é “palco”. Ou seja, o pessoal pode entrar, a gente está transmitindo e a pessoa vai conversando com a gente durante a transmissão. E, claro, só o nosso áudio
(04:36) e vídeo que consegue entrar. Então, eu acho que valeria a pena, cara.
— Mas isso não rola no celular?
— Rola, claro, óbvio.
— Não, mas tu és muito radical contra o Discord. O Discord é bom.
— Não é que… tu pegas o Telegram, por exemplo, com todos os defeitos que ele tem, é um aplicativo leve, que roda no teu telefone, não precisa de muitos recursos. Não sei como é o Discord.
— Eu rodo, nunca tive problema, para mim sempre foi de boa. Inclusive, eu uso em outro ambiente de
(05:10) trabalho, lá na faculdade. A gente usava Signal direto, e continua usando para coisas mais sensíveis, mas para a nossa comunicação do dia a dia, para as nossas conversas, a gente está usando direto o Discord. Porque daí chega o pessoal: “Ó, estou na sala da Coordenação”. “Fulano, está aí? Preciso conversar contigo”. Eu caio lá na sala do Discord, tem a sala da Coordenação, o pessoal entra e eu converso. Tem umas funcionalidades bem interessantes, cara. Acho que poderia ser bem útil para os nossos ouvintes.
(05:45) Enfim, isso é algo que a gente tem que discutir ainda. Não tomaremos decisões açodadas durante a gravação de um episódio.
— Não, mas se for a vontade da maioria, eu digo que fico, Vinícius. Eu vou lá e não tem problema. Aí vou ter que mover fundos, fazer uma campanha no Telegram.
— Sabe que, antes da gente começar, você me lembrou um negócio. A gente tinha toda uma promessa do metaverso, e isso que você falou logo me trouxe à mente a ideia: “Entra lá
(06:20) na sala da coordenação” ou “entra lá na sala do grupo tal”. E a galera pagou caro por aquilo. A gente pensava que aquela tecnologia poderia servir para esse tipo de coisa, só que, na verdade, a gente está usando coisas mais simples e que funcionam também. Envolve toda aquela questão de você criar necessidades e também todos os hypes que a gente tem visto, como o que houve no metaverso. O
(06:50) pessoal do Direito caiu de cabeça no “direito do metaverso”. E eu não sei se, claro, não dá para comparar, mas a gente tem um hype também acontecendo com a inteligência artificial. E a gente, às vezes, entra naquela ideia de que a inteligência artificial vai resolver todos os problemas do mundo, e não é bem assim também.
— Sim. Eu vou fazer uma coisa aqui, Guilherme. Vou largar uma pesquisa, uma enquete, lá no grupo VIP do Segurança Legal no Telegram. Estou botando aqui: “Pessoal, pesquisa durante a gravação.
(07:26) O que você prefere?”. Vou botar aqui as opções: “Grupo no Telegram” ou “Servidor no Discord”.
— Enquanto o Vinícius está falando, para a gente não ficar te ouvindo preencher a pesquisa: esse é o nosso grupo VIP lá no Telegram, que, até este momento, os apoiadores têm acesso. E lá a gente troca uma ideia, conversa. Eu até apareço com um pouco mais de frequência. A gente acompanha quando tem gravação, a gente avisa, e notícias surgem lá também. Em geral, coisas muito
(08:11) bombásticas, logo que saem, sempre tem algum “hackerzinho” de plantão para avisar, inclusive nós, às vezes, colocamos algumas notícias lá também. Então, é uma forma de manter contato. Aqui veio a pesquisa: “Grupo no Telegram ou servidor de Segurança Legal no Discord: o que você prefere?”. Temos um voto já para “Grupo no Telegram”. Vamos ver. Mas vamos ao nosso tema principal, que é por isso que nós estamos aqui hoje. O tempo hoje está contra nós. Na verdade, o tempo está sempre contra nós. Mas a privacidade e o cenário de adequação da LGPD no Brasil…
(08:53) Você já ouviu na abertura. Hoje, a gente vai falar sobre essa pesquisa do Cetic.br, do Comitê Gestor da Internet, que é esse órgão que realiza todas aquelas pesquisas de que a gente já fala: TIC Domicílios, TIC Empresas, TIC Crianças, etc. E a gente vem repercutindo essas pesquisas; quando elas aparecem, a gente sempre comenta aqui a importância desse tipo de pesquisa no Brasil. É a pesquisa mais importante nessas áreas que são feitas, sem dúvida, aqui no Brasil. A gente gosta também, sempre, de recomendar para a academia, para
(09:34) aquelas pessoas que estão na faculdade, enfim, vão produzir seus TCCs, suas dissertações, suas teses, e que, quando envolve a análise dessas questões mais do uso mesmo da internet pelos brasileiros, esse tipo de pesquisa, ou esse grupo de pesquisas, melhor dizendo, é obrigatório. E agora, em 2023, eles repetiram essa pesquisa, que também foi feita em 2021, que é a “Privacidade e Proteção de Dados Pessoais: Perspectivas de Indivíduos, Empresas e Organizações Públicas no Brasil”. Então, a gente tem
(10:14) essas três grandes seções. O documento tem 208 páginas, mas também está em inglês, obviamente para pessoas de fora que queiram consumir esses dados. Nós temos esses três domínios, essas três sessões. Hoje, nós vamos falar somente sobre as empresas, com o foco, claro, o título já diz, em privacidade e proteção de dados. E o foco é observar, conversar um pouco sobre esses números, tentar tirar alguma coisa deles, porque não é fácil. A gente estava conversando aqui antes, ficou uma hora, eu acho,
(10:48) sobre esses números. Tem algumas coisas que são difíceis de tirar conclusões. Né, Vinícius?
— Eu acho que vou deixar para falar quando a gente entrar nos gráficos, para não começar a adiantar algumas coisas aqui.
— Beleza, sem problemas. Então, eles têm um texto inicial que destacaram, antes da gente entrar nos números. Se você estiver nos acompanhando pelo YouTube, vai ver os gráficos que a gente vai projetar ao longo do
(11:19) episódio. Basicamente, eles destacam logo no início o papel da ANPD, o papel dos novos regulamentos todos. Então, basta a gente pensar no regulamento de comunicação de incidentes e no regulamento de encarregado, que eu não sei se a pesquisa pegou isso, acho que não ainda, porque é do ano passado, publicada agora. Então, certamente, o papel da ANPD se faz aqui importante. Mas eles colocaram de uma forma muito educada, Vinícius, e acho que já tem uma primeira interpretação aqui: o apontamento
(11:50) deles de que “ainda há espaço para ampliação da cultura de proteção de dados nas empresas” foi uma abordagem bem positiva do fenômeno. Mas eu leio isso, e leio o estudo como um todo, como algo que demonstra uma situação muito preocupante, na minha opinião. Porque essa frase, dizer que “ainda há espaço para ampliação da cultura”, significa que tem um espaço ainda não preenchido de uma lei que completa seis anos e que lida não somente com uma questão minha, Guilherme, falando aqui enquanto titular dos dados. Eu, enquanto titular, fico preocupado, porque os nossos
(12:29) dados estão sendo tratados nas mais variadas situações, com as mais variadas finalidades e hipóteses. Mas eu me preocupo tanto quanto empresário, como advogado e consultor na área também, porque pode ficar muito caro para as empresas. Pelo que a gente nota, e essa é mais uma percepção nossa, muitas empresas estão “pagando para ver”, estão deixando para depois. E o custo de deixar para depois pode ser muito alto. Eu acho que essa pesquisa demonstra um pouco esse cenário geral, que é uma coisa meio percebida já por quem é da área, por quem trabalha com isso, né, Vinícius?
(13:10) Sim, e pelo que a gente olhou ali nos gráficos, nós estamos falando de um espaço de mais ou menos 70% ainda para ser preenchido, por baixo. Então, realmente… mas é um pouco do que a gente já conversou e já falou em alguns dos nossos outros episódios sobre esse tema, Guilherme: enquanto não tiver algum tipo de consequência, uma consequência efetiva, isso tende a ficar muito em ações pontuais, como a gente vai ver em
(13:50) alguns gráficos, e talvez não tão bem feitas quanto parece, com baixa efetividade, talvez. Então, quando a gente for ver a questão de contratos, por exemplo, a gente vai ver que um monte de gente está adequando contrato, só que, às vezes, a única ação é essa: adequar contrato. E adequar contrato é o quê? É dizer que respeita a LGPD. Então, nós temos várias situações. Quer ir direto para os gráficos?
— Só para dizer que esse
(14:28) tipo de pesquisa pode ter alguns problemas também, e claro, isso está muito relacionado com a nossa percepção sobre esses temas. Diante de uma pesquisa séria como essa que o Cetic faz, é meramente uma percepção mesmo. A gente tende a ver a realidade de acordo com as nossas experiências, então alguns números nos pareceram altos. Mas isso é uma percepção que estamos colocando diante de uma pesquisa cientificamente feita. Isso é importante dizer, não são essas enquetes que nem a gente faz
(15:09) aqui. Isso é uma pesquisa conduzida por técnicos da área, por pessoas com metodologia descrita no documento. Os dados estão lá para você ver. Porque eles puxam alguns desses dados da TIC Empresas 2023, que também acho que dá para anotar aqui para deixar no show notes depois, que tem uma série de indicadores, inclusive alguns bem interessantes quanto à questão de práticas de segurança digital por setor e tudo mais. Então, nós temos essa questão: alguns números parecem altos. E também nós temos uma questão muito mais ampla e
(15:45) complexa nesse tipo de pesquisa. Isso não é um problema dos pesquisadores, nem da metodologia, mas sim de quando você tem respondentes que, ao responderem a alguma coisa, podem ter um viés, uma resposta diferente do comportamento que eles têm. Eles poderiam estar anunciando um comportamento incorreto, errado ou inadequado. Então, há uma tendência, não que todo mundo vá ser desonesto, nada disso, mas há uma tendência de as pessoas, às vezes, não serem totalmente honestas. Veja, o
(16:21) Vinícius estava lendo aqui um pouco sobre a metodologia. Você tem muitos gestores de TI sendo entrevistados. Então, poxa, quando você questiona um gestor de TI sobre algumas práticas que ele deveria estar fazendo, que seriam da responsabilidade dele, a tendência é que pode aparecer um viés de proteção, e eu diria que, em algumas vezes, até inconsciente. Não estou dizendo que o cara é antiético, é inconsciente mesmo. Então, isso também tem que ser observado aqui, e talvez tenha um pouco essa relação com
(16:53) alguns números que nos pareceram altos pela nossa realidade e experiência. Bom, eles então fizeram entrevistas em pequenas, médias e grandes empresas e buscaram identificar aqui três grandes domínios. Nós temos 11 gráficos a apresentar, e esses 11 gráficos vão ficar divididos no primeiro domínio, que é a guarda de dados pessoais e finalidades de uso; depois, desenvolvimento de capacidades internas, que são os indicadores sobre as ações de sensibilização das equipes internas das empresas sobre o tema; e há um terceiro domínio, que é a
(17:32) adequação propriamente dita, que são os indicadores sobre as ações de conformidade e adequação, bem como as atitudes e boas práticas no tratamento de dados pessoais. E aí, claro, começam a aparecer as surpresas. O primeiro gráfico, Vinícius, é também um gráfico um pouco difícil de trazer. Eu leio aqui para quem está nos ouvindo e não nos vendo: são as empresas por tipo de dados de pessoa física mantidos e o seu porte. Então, nós temos aqui, entre pequenas, médias e grandes empresas, um aumento ligeiro de 2021 para 2023,
(18:09) perdão, dos dados tratados, tanto no domínio de clientes e usuários, quanto no de funcionários e terceirizados, onde houve um aumento um pouco maior. Funcionários e terceirizados passaram a ter seus dados tratados 4% a mais em comparação com 2021 pelas grandes empresas. E parceiros e fornecedores, nas grandes empresas, tivemos uma diminuição, acho que em todas, tanto pequenas, médias e grandes, tivemos uma diminuição do número de parceiros de fornecedores de 2021 para 2023, ou seja, uma diminuição
(18:46) no número de dados ou na porcentagem de dados tratados.
— Só que tem um detalhe: se você está nos ouvindo agora e tem um interesse maior sobre essas informações, é bom olhar os gráficos. Esse gráfico aqui que a gente está mostrando, para quem está no YouTube, dá para ver que a variação é muito pequena, tanto para baixo quanto para cima. A variação percentual aqui é realmente muito pequena, e isso me traz uma dúvida. Não sei qual é exatamente a margem de erro aqui, digamos assim, mas essa variação… De
(19:27) fato, eu tendo a olhar para isso aqui e ver que as coisas estão paradas, do que efetivamente alguma mudança significativa, entende? De 2021 para 2023. Se você olhar o gráfico, está tudo muito perto, muito igual, com variações percentuais muito pequenas. Então, eu tendo a pensar que, com relação a 2021 para 2023, e essa é a minha conclusão olhando esse gráfico, a minha hipótese é que o tratamento de dados de clientes e usuários permanece igual.
(20:09) Funcionários e terceirizados permanecem iguais, e parceiros e fornecedores permanecem iguais para todas as faixas de empresas: pequena, média e grande, em termos percentuais. Essa é a leitura que eu faço, porque de 2022 para 2023, se tivesse tido uma grande alteração, acho que nós teríamos um impacto maior nos gráficos, entende? Então, nós estamos falando de uma alteração no cenário, alguma coisa que fosse significativa mesmo. Acho que a gente veria uma variação maior aqui nesses valores. Então, olhando hoje, eu diria que a gente está com o
(20:48) mesmo cenário de 21 para 23, o que aumenta um pouco a nossa preocupação. Não, na verdade, aqui nem tanto, porque é o tipo de dado; aqui não está classificando se está sendo cuidado ou não, a questão de LGPD e tal. Aqui é o tipo de dado que o pessoal tem tratado.
— Mas vamos lá, deixa eu fazer um exercício aqui. A gente só tem mais 35 minutos, temos que ir com cuidado. Mas a gente percebe que as práticas de negócio estão cada vez mais consumindo dados pessoais. Então, um aumento, e
(21:22) não uma diminuição como nós vimos em algumas áreas, seria o natural. Por exemplo, juntando os dados aqui do aumento de tratamento de dados de funcionários e terceirizados…
— Cuidado, Guilherme, na verdade, cuidado com a frase. Não é a quantidade de dados tratados, é o percentual de empresas que tratam dados pessoais de clientes e usuários, desta categoria de pessoas físicas. Não quer dizer que…
— Sim, mas aumentou o número de empresas que tratam dados de funcionários e terceirizados, de 60% para 64% nas grandes empresas. Tivemos aumentos de 4%. Por exemplo, a gente viu em outro gráfico, que veremos depois, que aumentou o número de dados pessoais sensíveis sendo tratados. Isso poderia ter uma relação, segundo a pesquisa, com a ampliação do número ou das situações de uso de dados
(22:31) para controle de entrada e saída. Então, isso pode estar relacionado, mas realmente pode mostrar uma estagnação e pode mostrar, sim, uma subnotificação aqui, se é que dá para usar essa palavra. Uma diferença pequena. Vamos para o gráfico dois, Vinícius, que seria a percentagem total de empresas que mantêm dados pessoais de clientes e usuários por tipo de finalidade. Ou seja, a percentagem daquelas empresas que tratam esses dados de clientes e usuários, por tipo de finalidade.
(23:07) Qual é a finalidade principal aqui? E, medida, isso também me chamou a atenção, porque está lá em primeiro lugar, com uma leve diminuição de 2021 para 2023, vamos colocar em 70%, “para entrar em contato diretamente com clientes”. Depois, seguido de “para checagem de crédito”, com 44-45%. “Para realizar estudos para desenvolvimento de novos produtos” teve um aumento de 24% para 28%. Ficou estagnado “para realizar análise de comportamento de clientes”, com 21% em 2021 e 2023, o que é um número ainda alto, mas é bom porque essa é uma atividade arriscada de se fazer. E um
(23:49) aumento de 1% em campanhas de marketing, de 17% para 18%. O que me chamou a atenção, em primeiro lugar, é que os dados tratados na grande maioria das vezes por empresas, e aqui se falando de clientes e usuários, ou seja, estou imaginando que são, de fato, pessoas que utilizam serviços dessas empresas, a maior finalidade é prestar o serviço. Essa é a primeira finalidade, e não apareceu aqui. Então, talvez a gente esteja assumindo que essa seja 100% da finalidade, eu imagino.
— Sim, e o que importa é o que vem depois. E aí,
(24:25) depois, “entrar em contato”. Claro que “entrar em contato” aqui pode estar incluindo encaminhar mensagens. Por exemplo, eu tenho a minha empresa de gás que presta serviço aqui para o condomínio. Ela entra em contato comigo, digamos assim, para me encaminhar a conta do gás, que entra automático, mas eles encaminham. Então, acho que isso estaria dentro desse “entrar em contato diretamente”. Aqui não explicita essa questão. Mas é interessante notar, e o Vinícius destacou: tem 30% de empresas
(24:58) que não entram em contato. Será que seria isso?
— Acho que sim, cara. Que só tem os dados, mas não os usa para entrar em contato com os clientes. Não sei, eu achei um número relativamente baixo, 70% das empresas usam para entrar em contato. Beleza. E as outras 30%? Tem alguma coisa que eu não estou vendo aqui, que não estou enxergando.
— Mas eu acho muito difícil que 30% das empresas não entrem em contato
(25:31) direto com o cliente e usuário. É uma coisa bem… Eu te digo que eu achei alto o número de checagem de crédito, viu? A gente está em 44% aqui em 2023 de empresas que usam dados para checar crédito.
— Eu, por exemplo, vou comprar lá na Amazon, não tenho meu crédito checado.
— Mas aí tem aquilo que eu comentei contigo. Tem muita loja… Acho que a Amazon não é a que mais vende. Acho que tem muita, muita loja que faz justamente esse tipo de venda, a venda parcelada,
(26:15) etc. Então, a gente tem muitas financeiras, um mercado de empréstimo bastante aquecido no Brasil, com muitas empresas fazendo isso e fornecendo serviços de crédito. Agora, que metade das empresas faça isso é bastante. Mas talvez dependa do setor envolvido aqui. Teria que ver, mas não é 45%… Eu estava procurando esse dado no Serasa, enfim, mas teria que ver com mais atenção. Mas não é 45%
(27:00) dos clientes de empresas que têm crédito, que buscam ou consomem serviços por crédito. Esse é um primeiro ponto.
— Claro, mas a gente está falando aqui das mais variadas atividades. Não estamos falando só de e-commerce, não é só digital. Aqui tem hotel, construção civil, tem tudo. E lá na metodologia foram pegas empresas por setor, uma amostra por setor. Então, todas as empresas estão representadas, todos os setores estão aqui representados. E o número de 21%
(27:40) também é importante para a realização de análise de comportamento, como a criação de perfis. A gente sabe como é crítica a atividade de análise de comportamento: envolve seleção de hipóteses de tratamento adequadas, envolve investigações, eventualmente, no sentido de apurar o risco dessa atividade para o titular de dados. Então, parece que esses 20% aqui, um número que eu considero alto, imaginando que estamos falando de todo o mundo de negócios e não só do digital — no digital deve ser mais alto ainda —,
(28:15) e a gente tem aí uma potencial situação de que isso está acontecendo em um número relativamente baixo de empresas, mas elas não estão cuidando adequadamente das atividades de adequação. Vamos para o gráfico três, Vinícius. Esse aqui, de fato, é bem mais complexo de se analisar. Nós temos as empresas por finalidade de uso de dados pessoais de funcionários e setor. Ou seja, a porcentagem de empresas que usam dados de funcionários e para qual
(28:58) atividade. E eles dividiram aqui em seis atividades. Inclusive, fica uma crítica aqui ao pessoal do Cetic: as cores dos gráficos, pessoal, têm que dar um contraste um pouco maior, porque fica bem difícil de ler.
— E tem uma coisa que, agora que você falou, eu me liguei. Lembrei de um relatório que a gente fez há muitos anos, e o gestor de TI para o qual a gente entregou o relatório era daltônico, e a gente não sabia. E aí ele sugeriu que a gente não só
(29:31) usasse cores diferentes nos gráficos, mas que utilizasse padrões diferentes, texturas, para facilitar a interpretação por quem é daltônico. Ele mesmo era, então sabia do que estava falando. Talvez seja uma coisa interessante também. Mas vamos lá, toca ficha.
— Eu não sou daltônico e, na primeira vez que olhei, não consegui identificar. É um gráfico difícil
(30:07) de se ler. Eu ia dizer aqui quais são as atividades medidas: avaliação interna de desempenho, monitoramento automatizado das atividades desempenhadas ou geolocalização — esse é um número que se repete, basicamente 20%, daria para dizer. Oferta de produtos e serviços é um número mais baixo, fica entre 9% e 13%. Controle de entrada e saída é o maior número aqui, o que chama muito a atenção. Ou seja, em todas as áreas, a maior finalidade do uso de dados de funcionários é o
(30:50) controle de entrada e saída. Criação e acompanhamento de planos de carreira e políticas de diversidade e inclusão… E essa seleção das finalidades me chamou um pouco a atenção. Por exemplo, agora me dei conta: não tem aqui toda a questão financeira do pagamento dos funcionários. Você tem um consumo de dados obrigatório dos funcionários para pagá-los, ou seja, aqueles dados normais. Isso não foi medido, e de propósito, porque em todos os casos esses dados vão ser tratados. Talvez seja óbvio, pode ser isso. Mas me chamou muito
(31:23) a atenção o fato de a gente ter altos números para políticas de diversidade e inclusão em todas as áreas: transporte (35%), área de informática (37%), atividades profissionais (29%), indústria (33%). Um alto número de tratamento de dados para políticas de diversidade. E talvez isso se dê pela questão do compliance. As atividades de compliance hoje já se preocupam há bastante tempo com a questão da diversidade e inclusão. Mas isso também pode envolver
(32:04) dados sensíveis, porque se você estiver falando de pessoas trans e todo o grupo LGBTQIA+, então você poderia ter… Eu não sei, não vejo isso muito na realidade, inclusive nos mais variados tamanhos de empresa, sabe? Não vejo isso acontecendo com esta frequência que vejo aqui. Mas veja, aqui é mais percepção mesmo.
— É que tem uma coisa importante também, que não é da minha área, que eu percebo na própria faculdade.
(32:40) Existe a necessidade da pessoa informar, quando está sendo contratada, essas informações, porque tem uma certa cota legal que a empresa tem que atender a partir de um certo número de funcionários. Senão, ela fica sujeita, provavelmente, a algum tipo de multa ou sanção. Então, talvez esse tratamento esteja aí refletido, entende? É uma coisa que a gente vê que todas as empresas, a partir de certo número de funcionários, têm que ter.
(33:10) Então, talvez esse número não seja tão alto, desculpa, talvez ele seja até baixo, se isso estiver sendo considerado na resposta.
— E tem essa dupla questão do monitoramento automatizado das atividades desempenhadas ou geolocalização, que foi de 11% a 23% aqui na informática, que é sempre um pouco maior nessas áreas. E isso pode estar apontando um problema, situações que podem ser um problema para a LGPD de
(33:47) maneira geral. Ou seja, estou imaginando situações de trabalho remoto, que são cada vez mais frequentes e que talvez não estejam refletidas aqui. Ou seja, há situações de trabalho remoto, mas você não estar monitorando isso, como nós já vimos acontecer. É uma situação em que o ideal é que você trate dados, justamente por questões de segurança e para, inclusive, conseguir medir as atividades de tratamento que estão sendo realizadas pela via remota. E pode ter aqui uma tendência de que essas atividades
(34:25) estejam acontecendo sem o devido acompanhamento. O próximo gráfico, Vinícius, gráfico 4, é sobre dados sensíveis, ou seja, empresas por tipo de dado sensível mantido, por porte e por setor. Então, eu tenho aqui pequenas, médias e grandes, de maneira geral, e o tratamento de dados sensíveis aumentou no total. Tivemos um aumento no tratamento de dados sensíveis em todos os cenários. O aumento total, que era de 24% em 2021, sobe para 30% em 2023. É um
(35:09) número importante. Nas médias, sobe bastante, de 36% para 50%. E no mercado de atuação, temos aumentos em todas as áreas: indústria aumentou 5%, construção acho que foi o que mais aumentou, de 13% para 22%, 9%. Isso pode demonstrar também o fato de essas empresas estarem se adequando a uma velocidade um pouco maior, ou seja, por começarem a se dar conta dos dados, inclusive a ter essa consciência. Porque se você pega uma empresa em que as pessoas
(35:48) não estão familiarizadas com os conceitos da lei, ao falar em “dados sensíveis”, o próprio problema da pessoa entender a pergunta pode, eventualmente, estar refletido aqui também. Transporte ficou estável, com aumento em áreas de informação e comunicação. Atividades profissionais também aumentaram bastante aqui, acho que mais do que construção. Mas esse aumento em todas essas áreas deveria também estar refletindo um aumento maior nas práticas de conformidade. A gente vai ver que até
(36:19) teve, mas talvez não acompanhe, porque estamos falando de dados sensíveis, que demandam cuidados maiores do ponto de vista da lei.
— Quer comentar algo aqui?
— Não, está tranquilo, pode ir.
— Vamos, então, para a próxima, que é “desenvolvimento de capacidades internas”. E ele começa a verificar, já no gráfico número cinco, as empresas por realização de reuniões internas para tratar do tema de proteção de dados pessoais, por porte. Eu acho até que a gente pode passar um pouco
(36:58) mais rápido por essas aqui, Vinícius, para chegarmos aos números que mais nos importam.
— Acho que a visão geral aqui é que o pessoal reduziu as reuniões, ou manteve mais ou menos a mesma coisa, ou reduziu. Não tem nenhum apontamento de aumento do número de reuniões.
— Não, aumentou em atividades profissionais somente, e em serviços também. Mas o resto todo ou ficou igual ou diminuiu.
— Ah, não, estou mentindo, calma aí. Alojamento e alimentação também aumentou.
— Mas, no geral, empresas de pequeno porte se mantiveram iguais (32%). Médias empresas caiu de 59% para 55%, e grandes de 73% para 65%. Mas o que esse número pode querer dizer? “Ah, os caras fizeram um monte de reunião há um tempo, preocupados com a LGPD, depois passou a preocupação e reduziram as reuniões”. Pode ser.
— Eu cheguei mais ou menos nessa conclusão também. Ou duas coisas: ou com o tempo passando e mais atividades de adequação sendo realizadas, se você for comparar com o número
(38:15) de reuniões necessárias para o início do processo, as reuniões efetivamente vão diminuir, se eu imaginar que as empresas estão aprendendo a lidar e têm conscientização. Então, pode, sim, haver uma tendência de diminuição de reuniões. Mas não podemos nos esquecer que você vai ter novos projetos, problemas, incidentes. Então, é difícil imaginar. Na nossa experiência, as reuniões vêm se mantendo e aumentando, pelo menos a sua necessidade
(38:49) aumenta. Ou, de fato, e esse número pode demonstrar aquela nossa preocupação, pode demonstrar uma diminuição na atenção para a proteção de dados. É difícil interpretar todos os dados ao mesmo tempo, às vezes eles se contradizem. Mas essa pode ser uma hipótese, sim: as empresas estão simplesmente diminuindo sua atenção, fazendo menos reuniões e pronto. O maior número
(39:23) registrado aqui foi de 65% nas grandes empresas em 2023. Ou seja, somente 65% das empresas está fazendo reunião sobre esse tema. Gráfico seis: “Empresas por existência de uma área específica ou funcionários responsáveis pelo tema de proteção de dados, por porte e setor”. Ou seja, a presença de uma área específica. Vemos aqui um aumento em todas as áreas: pequenas empresas subiu de 20% para 22%, médias de 41% para 43%, e deu um salto nas grandes, de 47% para 56%. E isso mostra que são as grandes empresas que estão
(40:12) liderando as atividades de adequação, de maneira geral. Claro, por múltiplas causas, a financeira é uma delas, sem dúvida, mas também de complexidade, de conhecimento. Mas isso demonstra um bom salto, de 47% para 56% nas grandes empresas, com saltos expressivos também nas áreas de informação e comunicação (de 35% para 51%) e atividades profissionais. E algumas diminuições na área de alojamento, alimentação e transportes; tivemos queda em áreas específicas. Opa, apagou
(40:57) minha luz, Vinícius. Enfim, essa diminuição nessas áreas também pode ser preocupante, porque quando a gente fala em transportes, alimentação e alojamento, podemos até ter dados sensíveis tratados, dependendo das circunstâncias. Então, também pode demonstrar uma necessidade maior de atenção para essas áreas. Depois, o gráfico sete, Vinícius: “Empresas por área ou departamento a que pertencem os funcionários responsáveis pelo tema de proteção de dados”. Aqui,
(41:42) me chamou a atenção que a pesquisa não verificou a existência de um setor de proteção de dados. Ou seja, um encarregado que pertence ao seu próprio setor, o setor do encarregado de dados. Isso não foi medido. Mas, enfim, o que mediram foi, entre 2021 e 2023, a quais áreas pertenciam. E esses números são interessantes. Temos um aumento de 1% do jurídico (de 32% para 33%), diminuição do compliance (me chamou a atenção, de 22% para 19%), uma pequena diminuição da TI
(42:21) (69% para 68%), diminuição de 1% na diretoria (53% para 52%), financeiro diminuiu, administrativo ficou igual, e outras áreas também. O enunciado talvez não explique muito bem. Será que está falando só sobre o encarregado, sobre a equipe do encarregado, ou sobre o envolvimento de pessoas desses setores? É difícil interpretar, mas me chama muito a atenção, e o estudo aponta exatamente isso, uma certa convergência entre aspectos de segurança digital e proteção de dados pela presença da TI na
(42:58) área.
— Sim, eu acho que isso é justificável. E tu vais ver no gráfico que TI e administrativo estão disparados na frente dos outros setores. Eu até achei que ia ter mais TI, inclusive. Mas, para mim, está muito parecido, sabe? Achei que fosse ter uma diferença maior entre TI e administrativo.
— Até porque você tem empresas que não têm TI, empresas que não têm compliance, então o administrativo…
— Entraria no administrativo, que caiu de 42% para 34%. O que me preocupa aqui, e eu tenho uma certa reserva quanto a isso, é um tema ao qual as pessoas não dão muita importância aqui no Brasil, mas na Europa é um dos grandes temas: o conflito de interesses. Aqui no Brasil, na verdade, em todas as áreas, nós temos uma certa leniência com conflitos de interesses. Vemos isso, antropologicamente
(44:17) explicado na história do Brasil. Enfim, você nota que aqui nós temos a TI, e quando ela está envolvida na proteção de dados, pode causar conflitos de interesses muito importantes. Na verdade, conflito de interesse pode ter em qualquer área, mas tradicionalmente, deixar na TI, pelo fato de a TI ser a área que vai tomar medidas de segurança, muitas vezes, quando não há uma área de segurança, ou quando vai ter suas práticas escrutinadas ou questionadas pelo encarregado… quando há
(44:52) essa independência, eu me preocupo um pouco com esse número alto. A própria diretoria também. Se a pessoa que vai cuidar da proteção de dados, ou se os grupos envolvidos — não somente o encarregado, mas também o encarregado —, se ele é um diretor, por exemplo, é muito provável que ele também tome decisões acerca do tratamento de dados na instituição. Então, eu tenho um problema de conflito de interesse ali. E se eu tiver, vou
(45:33) precisar de práticas para mitigar ou afastar esses conflitos em certas situações, o que deixa a questão muito mais complicada. Por isso que a gente sempre sugere a independência dos atores envolvidos aqui. Vinícius, o gráfico oito, se você quiser passar para nós: “Empresas por tipo de ações de treinamento ou capacitação”. Teve aqui, acho que dá para dizer, um aumento em todos, um aumento bastante importante de 2021 para 2023. Treinamento também é uma daquelas atividades fáceis
(46:11) de você demonstrar. A gente sabe que o treinamento é importante, deve ser feito, mas a realização de um treinamento é uma medida demonstrável e que traz um certo impacto, sobretudo quando a gente recomenda que você comprove que o treinamento foi feito, com certificados, testes quando possível, e tudo mais. Aqui, a própria questão do phishing poderia entrar também, mas não é bem treinamento. Em geral, os treinamentos que a gente faz antecedem um phishing para demonstrar mais a
(46:45) importância da segurança e da proteção de dados. Mas, assim, eu fiquei feliz. O número total sobe de 29% para 33%, com aumentos expressivos em algumas áreas. Mas é porque ele também mede por quem foi oferecido: se pelo governo, por outras empresas ou por instituições do terceiro setor. E tivemos, na verdade, uma diminuição de treinamentos oferecidos por outras empresas, pelo menos nas grandes empresas, ou seja, aquelas
(47:24) situações em que você contrata outra empresa para fazer o treinamento. E também, no número total, subiu de 29% para 33%, mas ainda é pouco, 33% no geral é pouco. São aqueles dois terços que a gente comentou no início.
— Sim. Os últimos… eu acho que esse, o gráfico nove, talvez seja o mais importante, Vinícius.
— É o mais importante e o mais difícil de ver. Aqui na tela ficou pequeno. Fizeram o gráfico mais alto. São as “Empresas por tipo
(48:00) de adequação à LGPD”. O que eles buscaram medir aqui? Quais são as medidas que estão sendo tomadas e a evolução de 2021 para 2023. Ele traz uma lista de medidas e simplesmente diz a porcentagem de empresas que fez aquela medida.
— Aqui, Guilherme, temos cinco medidas que estão num grupo claramente adiante das demais: realização de alterações em contratos vigentes (as empresas adequaram os contratos);
(48:37) elaboração de um plano de conformidade ou adequação à proteção de dados pessoais; desenvolvimento de uma política de privacidade que informa como os dados pessoais serão tratados pela empresa; e o outro item, que é a realização de testes de segurança contra incidentes, como vazamento de dados. Essas quatro primeiras estão mais ou menos, no geral, com 30%. Tem uma variaçãozinha na parte de contrato, que subiu de 28% para 35%, e de elaboração de plano de
(49:07) conformidade, que subiu de 24% para 32% entre 2021 e 2023. Mas esse é o grupo de destaque. Me chamou a atenção a “realização de teste de segurança” estar nesse grupo. A parte de teste de segurança contra incidentes de segurança com vazamento de dados. Não imaginei que estivesse tão par a par com medidas como, por exemplo, ajuste contratual, embora tenha uma diferença de 5-6% em 2023. Já as outras atividades…
(49:44) Tem umas que não foram medidas em 2021, que foram a elaboração de política de retenção e descarte de dados pessoais (essa foi medida só em 2023, com 25% do pessoal fazendo), e a outra, que em 2021 não havia sido medida, é a criação de um processo de avaliação de processos de tratamento de dados pessoais de empresas terceirizadas que sua empresa contrata, e elaboração de políticas de incidentes. Esses não haviam sido medidos. E nos demais, a
(50:24) gente tem várias outras coisas. Oferta de canal de atendimento, que diminuiu de 24% para 20%. Isso é estranho, diminuir a oferta de canal. Você mexe nos contratos, mas não oferece canal de atendimento. Aumenta a adequação, as atividades e práticas de adequação, e diminui o canal de atendimento? Você aumenta o comprometimento com a adequação, que é o que você faz no contrato, e aí vai lá e diminui o canal de atendimento?
— Mas esse número é importante, Vini. Essa avaliação que tu fazes, porque a gente estava conversando antes e meio que chega a uma conclusão, que é o seguinte: o contrato é uma medida importante, relevante, necessária. Obviamente, vai ter que mudar os contratos com operadores, controladores conjuntos, parceiros de negócios, toda aquela coisa. Mas, ao mesmo tempo, o contrato é uma medida demonstrável. “Bom, me adequei à LGPD”, algumas pessoas poderiam pensar, porque está longe de ser uma adequação somente mexer nos contratos. Isso não precisa nem destacar,
(51:36) mas se você pensa que somente alterar os contratos não é nem 5% do que precisa ser feito… Mas é algo importante e demonstrável. Mas, Vinícius e pessoal, a adequação dos contratos não garante que aquelas práticas estão sendo realizadas, ou, ainda, sequer a gente sabe qual é a qualidade dessa adequação contratual. Nós já vimos contratos em que você simplesmente coloca uma cláusula “deve cumprir a LGPD” e deu. Uma cláusula no meu contrato, ou “todas
(52:16) as leis que vierem”. Vejam, certamente esses contratos não foram lidos, não foram escrutinados. Então, me preocupa um pouco o contrato estar na frente, sabe? Porque é algo relativamente fácil, te dá segurança jurídica, evidentemente, no caso de incidentes, mas não é algo que garante que aquelas práticas vão estar sendo tomadas efetivamente. Você não consegue medir se o que está no contrato está sendo feito. Essa é uma preocupação, e na nossa experiência, já vimos diversos casos em que tem um
(52:48) contrato bonitão lá, mas na realidade está tudo o contrário do que está sendo dito. A própria elaboração do plano de conformidade, com 32% agora, é alto também. Você falou dos testes de segurança, eu acho alto também. Política de uso para funcionários, 30%. Gira em torno disso. E me chamou a atenção o inventário. O inventário, via de regra, é o ponto de entrada, você começa com o inventário para tomar pé da coisa, saber o que está acontecendo. E o inventário está lá no
(53:27) penúltimo lugar, Vinícius, 18% somente. Então, como é que você faz um plano de conformidade, como faz política, como altera contrato, como cria política para funcionários se você não tem o inventário? É algo que me chamou bastante a atenção. Temos o gráfico 10: “Empresas que alteraram contratos vigentes para adequação à LGPD”.
— Sim, o número bate com aquele gráfico anterior.
— Sim, mas aí ele pega a parte dos contratos, que foi o “ganhador”
(54:04) lá, e explode por grupos. Então, em serviços teve um aumento importantíssimo por setor. Construção teve aumento, diminuição na indústria, mas aumento nos transportes, aumento na TI, que já era alto (de 57% foi para 66%). Mas os maiores aumentos foram em atividades profissionais, que aqui entraria uma série de outras atividades, como imobiliárias, científicas, técnicas, administrativas. Seria uma área um pouco mais ampla. Mas nos serviços, a gente viu um aumento
(54:39) bastante grande. E por último, Vinícius, já indo para o encerramento, seria “Empresas por área de origem do encarregado de dados”. De qual setor o encarregado pertence. Aqui, mais uma vez, aquelas cores difíceis de interpretar, mas a grande maioria é da área de TI, depois financeiro. Aqui, definitivamente, as cores não ajudam, estou perdido. Mas é isso: TI, administrativo e financeiro sendo os setores dos quais saem os encarregados, com TI ganhando
(55:29) com 30%. E aí, remeto-vos àqueles comentários que fiz sobre o problema da independência, aqui especificamente do encarregado. Lá era a equipe, poderíamos até imaginar que, sendo uma equipe numerosa, tudo bem. Mas aqui, a crítica se faz um pouco mais importante. Não deveria ser assim. Você deveria ter uma área específica, como diz o regulamento do encarregado e todas as normas do exterior que falam sobre isso. No fim das contas, Vinícius, eu posso dizer que, sim, houve um aumento, mas acredito que o aumento, pelos
(56:08) números que vimos, foi tímido.
— Concordo.
— As alterações e o aumento em algumas práticas, principalmente no gráfico nove, parecem estar demonstrando algumas inconsistências, sobretudo quando a gente vê o contrato lá na frente e o inventário lá embaixo. Isso me acende uma luz de alerta de que, eventualmente, as coisas que estão sendo feitas talvez não estejam sendo bem feitas. E o risco que se coloca, tanto para nós, enquanto titulares, quanto para as empresas que estão
(56:46) deixando isso para trás, eu diria que é uma bomba-relógio. Isso vai estourar em algum momento. Isso tem consequências até do ponto de vista internacional para empresas que vão fazer negócios no Brasil. Porque se nós estamos tendo essa conclusão aqui no nosso podcast, numa sexta-feira, outros grupos também terão conclusões semelhantes, vão ler isso, e isso impacta na confiança de negócios. Então, eu termino aqui, Vinícius, com uma preocupação. Eu gostaria que os números fossem muito melhores.
— Eu
(57:23) concordo contigo. E, pior, às vezes, a nossa percepção é que a coisa está pior ainda do que aparece aqui. Mas veja, é a percepção.
— Sim, eu acho que é um quadro mais otimista do que a gente percebe. Mas, ao mesmo tempo, exatamente por isso, ainda considerando o cenário otimista, entre aspas, ainda assim é muito baixo. Mas vamos ver aquela questão: se a coisa começa a ter uma dinâmica maior no sentido de maior cobrança com relação ao respeito a essas regras de tratamento de dados, naturalmente essas curvas, esses gráficos, se alteram
(58:09) de maneira significativa. Mas enquanto não houver essa percepção de necessidade de se atender plenamente a esses itens, a gente vai continuar patinando. Me parece que a gente patinou de 2021 para 2023. Ficamos meio que na mesma, com alguns decréscimos ali. Canais de atendimento, para mim, chamou a atenção, é preocupante. Exercício dos direitos do titular. Então, assim, parece mais uma coisa para “cumprir tabela”, sabe?
(58:47) Essa adequação à LGPD que a gente tem visto parece mais uma coisa para cumprir tabela do que efetivamente para atender aos interesses do titular. Mas vamos ver, o tempo vai nos mostrar o que vai acontecer.
— Café quente?
— Não, não tem café quente hoje, não. Já queria dar café, e eu estou sem café aqui, só com água.
— Eu tenho um café frio aqui do dia anterior, que ficou na minha mesa, então melhor não tocá-lo.
— Não,
(59:20) deixa ele quieto aí. Vinícius, agradecemos a todos aqueles e aquelas que nos acompanham. Vou dar a parcial da nossa pesquisa do Telegram.
— Ah, é verdade.
— E do Discord. A parcial não está muito boa para mim. Nós temos… Que bom que estou perguntando no grupo do Telegram, né? Isso está enviesado. O Hilton está reclamando que faltou um “tanto faz”. O pessoal está escolhendo entre um e outro. Nós estamos com sete votos até o momento: 86% prefere o grupo no Telegram
(59:58) e 14% no servidor do Discord. Se eu perder… Hamilton, se eu perder, eu vou apagar essa pesquisa e fazer outra. Faço o ditador. Se eu perder, vou sumir com os boletins da urna aqui. Mas, ó, vai ficar aberto para vocês seguirem votando lá no grupo do Telegram. E quem não participa do nosso grupo também pode opinar, se me ajudar a vencer.
— Aí, o cara está dando um golpe
(1:00:36) aqui.
— Não, mas são perfis, Vinícius. Eu li uma pesquisa sobre o Discord, e é um app de nicho ainda. Claro que a parte de vídeo e áudio é imbatível, é a melhor coisa que já foi inventada, que a gente já usou aqui, sem dúvida. Mas ele tem um pouco de nicho, sim. Mas nada impede que os dois coexistam para coisas específicas. Então, bem tranquilo, já estou me ajustando caso eu perca.
— Boa, achando uma saída.
— Sair D. Rosa. Bom, agora aguardamos, então.
(1:01:19) Esperamos que tenham gostado e aguardamos todos e todas no próximo episódio do podcast Segurança Legal. Até a próxima!
— Até a próxima!
— Beleza. Eu estou aqui gravando ainda, só deixa eu fechar essas janelas de apresentação, que estou cheio de tralha aqui na minha tela. É um pouco denso aqui, né, Guilherme?
— Sem dúvida, mas é necessário, viu? E eu espero ter atingido também as empresas, sobretudo aquelas que não se adequaram. Isso aqui não é brincadeira. Não é porque a gente atua nessa área, eu falo isso honestamente
(1:01:58) mesmo. É um risco muito grande você não estar adequado e ocorrer um incidente. É muito grande, você pode ter muito a perder.
— Mas o que eu percebo é que adequar, pelo menos adequar direito, é uma coisa que demanda um certo investimento de tempo e dinheiro, não é algo que se consegue fazer fácil. O esforço…
— Claro, mas entra no tempo que tem que dedicar para fazer. E eu percebo, cara… bom, os nossos clientes não, porque eles entram em contato com a gente justamente preocupados
(1:02:35) com esse tipo de coisa, não só com a proteção de dados, mas diretamente com a LGPD e também com a questão de proteção de sistemas, segurança. Então, acaba sendo um grupo com o qual a gente tem contato que já tem um certo viés na direção de fazer as coisas direito. Mas, em ambientes externos com os quais eu acabo tendo contato, eu percebo, de gestores e tal, uma preocupação muito secundária, muito
(1:03:19) pequena, diminuída. Uma coisa que não chama muita atenção, tem outras coisas para fazer, outros problemas para resolver. É a impressão que eu tenho, sabe? E vai ficando, cara, esse negócio vai ficando. Então, eu acho que tem muito disso. A gente não chega a perceber tanto porque não ficamos fazendo pesquisa com um monte de empresas, inclusive empresas que não são nossas clientes. Então, acabamos vendo o universo dos nossos
(1:03:49) clientes, que é um universo diferente, porque o simples fato de procurar esse tipo de serviço já demonstra uma preocupação. Mas é isso, cara, eu acho que a gente não está vendo o cenário todo.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio comentamos a nova pesquisa “Privacidade e Proteção de Dados” do CETIC.br. Você irá descobrir o cenário atual de adequação das empresas brasileiras à LGPD e por que ele é preocupante.
Guilherme Goulart e Vinícius Serafim analisam os dados da mais recente pesquisa do CETIC.br sobre privacidade e proteção de dados no Brasil. A discussão aprofunda o nível de conformidade das empresas com a LGPD, revelando uma evolução tímida e práticas superficiais, como a baixa realização de inventário de dados. Abordando o tratamento de dados pessoais e dados sensíveis, o episódio debate a importância do encarregado de dados (DPO), a governança de dados, a segurança da informação e os riscos de incidentes de segurança, que afetam os direitos dos titulares. Assine nosso podcast, siga-nos nas redes sociais e deixe sua avaliação.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:00) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e, aqui comigo, está o meu amigo Vinícius Serafim. Tudo bem, Vinícius?
— Tudo bem, Guilherme. Olá aos nossos ouvintes e àqueles que nos acompanham pelo YouTube.
— O meu amigo, e o amigo de todos vocês que nos escutam também. O amigo de todos aqueles que estão aqui conosco. O Vini é um cara muito amigável. Sempre lembrando que, para nós, é fundamental a participação de todos e
(00:36) todas, por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo e-mail [email protected], no YouTube (youtube.com/segurancalegal), no Mastodon (@[email protected]) e, agora, no Bluesky. Siga-nos lá também no Bluesky, em @segurancalegal.bsky.social. Mas se você só colocar “Segurança Legal”, ele já vai achar. Siga o Vinícius em serafim.eti.br e eu, que vos falo, em direitodatecnologia.com.
(01:13) São os nossos domínios personalizados, né, Vinícius? Tem um macetezinho lá que você consegue fazer algo que seria próximo, naquela outra rede, que não é bem um verificado, mas talvez uma demonstração de que, pelo menos, você é dono daquele domínio. Já é alguma coisa. Temos também a nossa campanha de financiamento coletivo no Apoia.se, em
(01:38) apoia.se/segurancalegal. A gente sempre pede para que você considere apoiar um projeto de produção de conteúdo que está há 12 anos no ar.
— 12 anos no ar. 12, né? Em 2012 nós começamos.
— 12 anos no ar. Então, veja que a gente se esforça para manter o podcast no ar, e isso também passa pelo apoio dos ouvintes, que é bastante importante para nós. Então, considere também fazer o apoio.
— Não deixe de pagar a Netflix… Quer dizer, não, não deixa de pagar a Netflix, não!
— Aí não, Guilherme! Aí eu desisto, eu vou sair.
— Mas sabe que eu não assino mais
(02:18) Netflix, cara? Existe vida além da Netflix.
— Ah, poxa, mas tem coisa legal lá.
— Tem, eu fico pulando de um serviço de streaming para outro. E, claro, numa casa que tem criança, a coisa muda um pouco também.
— É verdade. Mas, enfim, até o… esqueci o nome do nosso ouvinte que comentou no grupo do Telegram sobre “Anéis de Poder”, de trocar o Twitter pelo Bluesky, e trocar o Twitter pelo “Anéis de Poder”. E eu respondi: “Olha, não pode ter Twitter na mesma frase, ou X na mesma frase, que tem ‘Anéis de Poder'”. Não se
(02:59) compara.
— Eu acho que foi o Israel, Vinícius, estou vendo aqui.
— Ah, o Israel. Beleza. Um abração para ti e para todos os nossos amigos lá do grupo do Telegram, que eu não sou tão presente lá no grupo.
— Mas eu estou tentando convencer o Guilherme a gente criar um servidor no Discord, mas isso está em discussão ainda.
— Eu te confesso que eu não gosto muito do Discord, mas eu sei que os jovens usam bastante. Então, se você está nos ouvindo e quer o servidor no Discord, nos avise que a gente cria.
(03:36) É fácil fazer isso, Vini?
— É fácil, fácil. A gente está usando para outras coisas, mas não para servidores abertos. Inclusive, Guilherme, tem o canal “palco”. Explica para nós o que é esse canal “palco”.
— Se a gente tiver o servidor no Discord e a galera entrar lá, o pessoal entra e a gente tem o chat, tudo igual. Pode ter para assuntos diferentes, para sugestão de temas, por exemplo. A gente pode botar coisas diferentes lá.
(04:06) É muito legal. O cara pode entrar lá e largar uma sugestão de tema. A gente pode ter lá dentro o canal VIP, e a gente revê um pouco esse funcionamento do grupo VIP. Então, dá para ter um canal VIP, dá para ter um canal aberto, público, e a gente pode ter, entre as diversas salas de bate-papo de voz, uma delas que é “palco”. Ou seja, o pessoal pode entrar, a gente está transmitindo e a pessoa vai conversando com a gente durante a transmissão. E, claro, só o nosso áudio
(04:36) e vídeo que consegue entrar. Então, eu acho que valeria a pena, cara.
— Mas isso não rola no celular?
— Rola, claro, óbvio.
— Não, mas tu és muito radical contra o Discord. O Discord é bom.
— Não é que… tu pegas o Telegram, por exemplo, com todos os defeitos que ele tem, é um aplicativo leve, que roda no teu telefone, não precisa de muitos recursos. Não sei como é o Discord.
— Eu rodo, nunca tive problema, para mim sempre foi de boa. Inclusive, eu uso em outro ambiente de
(05:10) trabalho, lá na faculdade. A gente usava Signal direto, e continua usando para coisas mais sensíveis, mas para a nossa comunicação do dia a dia, para as nossas conversas, a gente está usando direto o Discord. Porque daí chega o pessoal: “Ó, estou na sala da Coordenação”. “Fulano, está aí? Preciso conversar contigo”. Eu caio lá na sala do Discord, tem a sala da Coordenação, o pessoal entra e eu converso. Tem umas funcionalidades bem interessantes, cara. Acho que poderia ser bem útil para os nossos ouvintes.
(05:45) Enfim, isso é algo que a gente tem que discutir ainda. Não tomaremos decisões açodadas durante a gravação de um episódio.
— Não, mas se for a vontade da maioria, eu digo que fico, Vinícius. Eu vou lá e não tem problema. Aí vou ter que mover fundos, fazer uma campanha no Telegram.
— Sabe que, antes da gente começar, você me lembrou um negócio. A gente tinha toda uma promessa do metaverso, e isso que você falou logo me trouxe à mente a ideia: “Entra lá
(06:20) na sala da coordenação” ou “entra lá na sala do grupo tal”. E a galera pagou caro por aquilo. A gente pensava que aquela tecnologia poderia servir para esse tipo de coisa, só que, na verdade, a gente está usando coisas mais simples e que funcionam também. Envolve toda aquela questão de você criar necessidades e também todos os hypes que a gente tem visto, como o que houve no metaverso. O
(06:50) pessoal do Direito caiu de cabeça no “direito do metaverso”. E eu não sei se, claro, não dá para comparar, mas a gente tem um hype também acontecendo com a inteligência artificial. E a gente, às vezes, entra naquela ideia de que a inteligência artificial vai resolver todos os problemas do mundo, e não é bem assim também.
— Sim. Eu vou fazer uma coisa aqui, Guilherme. Vou largar uma pesquisa, uma enquete, lá no grupo VIP do Segurança Legal no Telegram. Estou botando aqui: “Pessoal, pesquisa durante a gravação.
(07:26) O que você prefere?”. Vou botar aqui as opções: “Grupo no Telegram” ou “Servidor no Discord”.
— Enquanto o Vinícius está falando, para a gente não ficar te ouvindo preencher a pesquisa: esse é o nosso grupo VIP lá no Telegram, que, até este momento, os apoiadores têm acesso. E lá a gente troca uma ideia, conversa. Eu até apareço com um pouco mais de frequência. A gente acompanha quando tem gravação, a gente avisa, e notícias surgem lá também. Em geral, coisas muito
(08:11) bombásticas, logo que saem, sempre tem algum “hackerzinho” de plantão para avisar, inclusive nós, às vezes, colocamos algumas notícias lá também. Então, é uma forma de manter contato. Aqui veio a pesquisa: “Grupo no Telegram ou servidor de Segurança Legal no Discord: o que você prefere?”. Temos um voto já para “Grupo no Telegram”. Vamos ver. Mas vamos ao nosso tema principal, que é por isso que nós estamos aqui hoje. O tempo hoje está contra nós. Na verdade, o tempo está sempre contra nós. Mas a privacidade e o cenário de adequação da LGPD no Brasil…
(08:53) Você já ouviu na abertura. Hoje, a gente vai falar sobre essa pesquisa do Cetic.br, do Comitê Gestor da Internet, que é esse órgão que realiza todas aquelas pesquisas de que a gente já fala: TIC Domicílios, TIC Empresas, TIC Crianças, etc. E a gente vem repercutindo essas pesquisas; quando elas aparecem, a gente sempre comenta aqui a importância desse tipo de pesquisa no Brasil. É a pesquisa mais importante nessas áreas que são feitas, sem dúvida, aqui no Brasil. A gente gosta também, sempre, de recomendar para a academia, para
(09:34) aquelas pessoas que estão na faculdade, enfim, vão produzir seus TCCs, suas dissertações, suas teses, e que, quando envolve a análise dessas questões mais do uso mesmo da internet pelos brasileiros, esse tipo de pesquisa, ou esse grupo de pesquisas, melhor dizendo, é obrigatório. E agora, em 2023, eles repetiram essa pesquisa, que também foi feita em 2021, que é a “Privacidade e Proteção de Dados Pessoais: Perspectivas de Indivíduos, Empresas e Organizações Públicas no Brasil”. Então, a gente tem
(10:14) essas três grandes seções. O documento tem 208 páginas, mas também está em inglês, obviamente para pessoas de fora que queiram consumir esses dados. Nós temos esses três domínios, essas três sessões. Hoje, nós vamos falar somente sobre as empresas, com o foco, claro, o título já diz, em privacidade e proteção de dados. E o foco é observar, conversar um pouco sobre esses números, tentar tirar alguma coisa deles, porque não é fácil. A gente estava conversando aqui antes, ficou uma hora, eu acho,
(10:48) sobre esses números. Tem algumas coisas que são difíceis de tirar conclusões. Né, Vinícius?
— Eu acho que vou deixar para falar quando a gente entrar nos gráficos, para não começar a adiantar algumas coisas aqui.
— Beleza, sem problemas. Então, eles têm um texto inicial que destacaram, antes da gente entrar nos números. Se você estiver nos acompanhando pelo YouTube, vai ver os gráficos que a gente vai projetar ao longo do
(11:19) episódio. Basicamente, eles destacam logo no início o papel da ANPD, o papel dos novos regulamentos todos. Então, basta a gente pensar no regulamento de comunicação de incidentes e no regulamento de encarregado, que eu não sei se a pesquisa pegou isso, acho que não ainda, porque é do ano passado, publicada agora. Então, certamente, o papel da ANPD se faz aqui importante. Mas eles colocaram de uma forma muito educada, Vinícius, e acho que já tem uma primeira interpretação aqui: o apontamento
(11:50) deles de que “ainda há espaço para ampliação da cultura de proteção de dados nas empresas” foi uma abordagem bem positiva do fenômeno. Mas eu leio isso, e leio o estudo como um todo, como algo que demonstra uma situação muito preocupante, na minha opinião. Porque essa frase, dizer que “ainda há espaço para ampliação da cultura”, significa que tem um espaço ainda não preenchido de uma lei que completa seis anos e que lida não somente com uma questão minha, Guilherme, falando aqui enquanto titular dos dados. Eu, enquanto titular, fico preocupado, porque os nossos
(12:29) dados estão sendo tratados nas mais variadas situações, com as mais variadas finalidades e hipóteses. Mas eu me preocupo tanto quanto empresário, como advogado e consultor na área também, porque pode ficar muito caro para as empresas. Pelo que a gente nota, e essa é mais uma percepção nossa, muitas empresas estão “pagando para ver”, estão deixando para depois. E o custo de deixar para depois pode ser muito alto. Eu acho que essa pesquisa demonstra um pouco esse cenário geral, que é uma coisa meio percebida já por quem é da área, por quem trabalha com isso, né, Vinícius?
(13:10) Sim, e pelo que a gente olhou ali nos gráficos, nós estamos falando de um espaço de mais ou menos 70% ainda para ser preenchido, por baixo. Então, realmente… mas é um pouco do que a gente já conversou e já falou em alguns dos nossos outros episódios sobre esse tema, Guilherme: enquanto não tiver algum tipo de consequência, uma consequência efetiva, isso tende a ficar muito em ações pontuais, como a gente vai ver em
(13:50) alguns gráficos, e talvez não tão bem feitas quanto parece, com baixa efetividade, talvez. Então, quando a gente for ver a questão de contratos, por exemplo, a gente vai ver que um monte de gente está adequando contrato, só que, às vezes, a única ação é essa: adequar contrato. E adequar contrato é o quê? É dizer que respeita a LGPD. Então, nós temos várias situações. Quer ir direto para os gráficos?
— Só para dizer que esse
(14:28) tipo de pesquisa pode ter alguns problemas também, e claro, isso está muito relacionado com a nossa percepção sobre esses temas. Diante de uma pesquisa séria como essa que o Cetic faz, é meramente uma percepção mesmo. A gente tende a ver a realidade de acordo com as nossas experiências, então alguns números nos pareceram altos. Mas isso é uma percepção que estamos colocando diante de uma pesquisa cientificamente feita. Isso é importante dizer, não são essas enquetes que nem a gente faz
(15:09) aqui. Isso é uma pesquisa conduzida por técnicos da área, por pessoas com metodologia descrita no documento. Os dados estão lá para você ver. Porque eles puxam alguns desses dados da TIC Empresas 2023, que também acho que dá para anotar aqui para deixar no show notes depois, que tem uma série de indicadores, inclusive alguns bem interessantes quanto à questão de práticas de segurança digital por setor e tudo mais. Então, nós temos essa questão: alguns números parecem altos. E também nós temos uma questão muito mais ampla e
(15:45) complexa nesse tipo de pesquisa. Isso não é um problema dos pesquisadores, nem da metodologia, mas sim de quando você tem respondentes que, ao responderem a alguma coisa, podem ter um viés, uma resposta diferente do comportamento que eles têm. Eles poderiam estar anunciando um comportamento incorreto, errado ou inadequado. Então, há uma tendência, não que todo mundo vá ser desonesto, nada disso, mas há uma tendência de as pessoas, às vezes, não serem totalmente honestas. Veja, o
(16:21) Vinícius estava lendo aqui um pouco sobre a metodologia. Você tem muitos gestores de TI sendo entrevistados. Então, poxa, quando você questiona um gestor de TI sobre algumas práticas que ele deveria estar fazendo, que seriam da responsabilidade dele, a tendência é que pode aparecer um viés de proteção, e eu diria que, em algumas vezes, até inconsciente. Não estou dizendo que o cara é antiético, é inconsciente mesmo. Então, isso também tem que ser observado aqui, e talvez tenha um pouco essa relação com
(16:53) alguns números que nos pareceram altos pela nossa realidade e experiência. Bom, eles então fizeram entrevistas em pequenas, médias e grandes empresas e buscaram identificar aqui três grandes domínios. Nós temos 11 gráficos a apresentar, e esses 11 gráficos vão ficar divididos no primeiro domínio, que é a guarda de dados pessoais e finalidades de uso; depois, desenvolvimento de capacidades internas, que são os indicadores sobre as ações de sensibilização das equipes internas das empresas sobre o tema; e há um terceiro domínio, que é a
(17:32) adequação propriamente dita, que são os indicadores sobre as ações de conformidade e adequação, bem como as atitudes e boas práticas no tratamento de dados pessoais. E aí, claro, começam a aparecer as surpresas. O primeiro gráfico, Vinícius, é também um gráfico um pouco difícil de trazer. Eu leio aqui para quem está nos ouvindo e não nos vendo: são as empresas por tipo de dados de pessoa física mantidos e o seu porte. Então, nós temos aqui, entre pequenas, médias e grandes empresas, um aumento ligeiro de 2021 para 2023,
(18:09) perdão, dos dados tratados, tanto no domínio de clientes e usuários, quanto no de funcionários e terceirizados, onde houve um aumento um pouco maior. Funcionários e terceirizados passaram a ter seus dados tratados 4% a mais em comparação com 2021 pelas grandes empresas. E parceiros e fornecedores, nas grandes empresas, tivemos uma diminuição, acho que em todas, tanto pequenas, médias e grandes, tivemos uma diminuição do número de parceiros de fornecedores de 2021 para 2023, ou seja, uma diminuição
(18:46) no número de dados ou na porcentagem de dados tratados.
— Só que tem um detalhe: se você está nos ouvindo agora e tem um interesse maior sobre essas informações, é bom olhar os gráficos. Esse gráfico aqui que a gente está mostrando, para quem está no YouTube, dá para ver que a variação é muito pequena, tanto para baixo quanto para cima. A variação percentual aqui é realmente muito pequena, e isso me traz uma dúvida. Não sei qual é exatamente a margem de erro aqui, digamos assim, mas essa variação… De
(19:27) fato, eu tendo a olhar para isso aqui e ver que as coisas estão paradas, do que efetivamente alguma mudança significativa, entende? De 2021 para 2023. Se você olhar o gráfico, está tudo muito perto, muito igual, com variações percentuais muito pequenas. Então, eu tendo a pensar que, com relação a 2021 para 2023, e essa é a minha conclusão olhando esse gráfico, a minha hipótese é que o tratamento de dados de clientes e usuários permanece igual.
(20:09) Funcionários e terceirizados permanecem iguais, e parceiros e fornecedores permanecem iguais para todas as faixas de empresas: pequena, média e grande, em termos percentuais. Essa é a leitura que eu faço, porque de 2022 para 2023, se tivesse tido uma grande alteração, acho que nós teríamos um impacto maior nos gráficos, entende? Então, nós estamos falando de uma alteração no cenário, alguma coisa que fosse significativa mesmo. Acho que a gente veria uma variação maior aqui nesses valores. Então, olhando hoje, eu diria que a gente está com o
(20:48) mesmo cenário de 21 para 23, o que aumenta um pouco a nossa preocupação. Não, na verdade, aqui nem tanto, porque é o tipo de dado; aqui não está classificando se está sendo cuidado ou não, a questão de LGPD e tal. Aqui é o tipo de dado que o pessoal tem tratado.
— Mas vamos lá, deixa eu fazer um exercício aqui. A gente só tem mais 35 minutos, temos que ir com cuidado. Mas a gente percebe que as práticas de negócio estão cada vez mais consumindo dados pessoais. Então, um aumento, e
(21:22) não uma diminuição como nós vimos em algumas áreas, seria o natural. Por exemplo, juntando os dados aqui do aumento de tratamento de dados de funcionários e terceirizados…
— Cuidado, Guilherme, na verdade, cuidado com a frase. Não é a quantidade de dados tratados, é o percentual de empresas que tratam dados pessoais de clientes e usuários, desta categoria de pessoas físicas. Não quer dizer que…
— Sim, mas aumentou o número de empresas que tratam dados de funcionários e terceirizados, de 60% para 64% nas grandes empresas. Tivemos aumentos de 4%. Por exemplo, a gente viu em outro gráfico, que veremos depois, que aumentou o número de dados pessoais sensíveis sendo tratados. Isso poderia ter uma relação, segundo a pesquisa, com a ampliação do número ou das situações de uso de dados
(22:31) para controle de entrada e saída. Então, isso pode estar relacionado, mas realmente pode mostrar uma estagnação e pode mostrar, sim, uma subnotificação aqui, se é que dá para usar essa palavra. Uma diferença pequena. Vamos para o gráfico dois, Vinícius, que seria a percentagem total de empresas que mantêm dados pessoais de clientes e usuários por tipo de finalidade. Ou seja, a percentagem daquelas empresas que tratam esses dados de clientes e usuários, por tipo de finalidade.
(23:07) Qual é a finalidade principal aqui? E, medida, isso também me chamou a atenção, porque está lá em primeiro lugar, com uma leve diminuição de 2021 para 2023, vamos colocar em 70%, “para entrar em contato diretamente com clientes”. Depois, seguido de “para checagem de crédito”, com 44-45%. “Para realizar estudos para desenvolvimento de novos produtos” teve um aumento de 24% para 28%. Ficou estagnado “para realizar análise de comportamento de clientes”, com 21% em 2021 e 2023, o que é um número ainda alto, mas é bom porque essa é uma atividade arriscada de se fazer. E um
(23:49) aumento de 1% em campanhas de marketing, de 17% para 18%. O que me chamou a atenção, em primeiro lugar, é que os dados tratados na grande maioria das vezes por empresas, e aqui se falando de clientes e usuários, ou seja, estou imaginando que são, de fato, pessoas que utilizam serviços dessas empresas, a maior finalidade é prestar o serviço. Essa é a primeira finalidade, e não apareceu aqui. Então, talvez a gente esteja assumindo que essa seja 100% da finalidade, eu imagino.
— Sim, e o que importa é o que vem depois. E aí,
(24:25) depois, “entrar em contato”. Claro que “entrar em contato” aqui pode estar incluindo encaminhar mensagens. Por exemplo, eu tenho a minha empresa de gás que presta serviço aqui para o condomínio. Ela entra em contato comigo, digamos assim, para me encaminhar a conta do gás, que entra automático, mas eles encaminham. Então, acho que isso estaria dentro desse “entrar em contato diretamente”. Aqui não explicita essa questão. Mas é interessante notar, e o Vinícius destacou: tem 30% de empresas
(24:58) que não entram em contato. Será que seria isso?
— Acho que sim, cara. Que só tem os dados, mas não os usa para entrar em contato com os clientes. Não sei, eu achei um número relativamente baixo, 70% das empresas usam para entrar em contato. Beleza. E as outras 30%? Tem alguma coisa que eu não estou vendo aqui, que não estou enxergando.
— Mas eu acho muito difícil que 30% das empresas não entrem em contato
(25:31) direto com o cliente e usuário. É uma coisa bem… Eu te digo que eu achei alto o número de checagem de crédito, viu? A gente está em 44% aqui em 2023 de empresas que usam dados para checar crédito.
— Eu, por exemplo, vou comprar lá na Amazon, não tenho meu crédito checado.
— Mas aí tem aquilo que eu comentei contigo. Tem muita loja… Acho que a Amazon não é a que mais vende. Acho que tem muita, muita loja que faz justamente esse tipo de venda, a venda parcelada,
(26:15) etc. Então, a gente tem muitas financeiras, um mercado de empréstimo bastante aquecido no Brasil, com muitas empresas fazendo isso e fornecendo serviços de crédito. Agora, que metade das empresas faça isso é bastante. Mas talvez dependa do setor envolvido aqui. Teria que ver, mas não é 45%… Eu estava procurando esse dado no Serasa, enfim, mas teria que ver com mais atenção. Mas não é 45%
(27:00) dos clientes de empresas que têm crédito, que buscam ou consomem serviços por crédito. Esse é um primeiro ponto.
— Claro, mas a gente está falando aqui das mais variadas atividades. Não estamos falando só de e-commerce, não é só digital. Aqui tem hotel, construção civil, tem tudo. E lá na metodologia foram pegas empresas por setor, uma amostra por setor. Então, todas as empresas estão representadas, todos os setores estão aqui representados. E o número de 21%
(27:40) também é importante para a realização de análise de comportamento, como a criação de perfis. A gente sabe como é crítica a atividade de análise de comportamento: envolve seleção de hipóteses de tratamento adequadas, envolve investigações, eventualmente, no sentido de apurar o risco dessa atividade para o titular de dados. Então, parece que esses 20% aqui, um número que eu considero alto, imaginando que estamos falando de todo o mundo de negócios e não só do digital — no digital deve ser mais alto ainda —,
(28:15) e a gente tem aí uma potencial situação de que isso está acontecendo em um número relativamente baixo de empresas, mas elas não estão cuidando adequadamente das atividades de adequação. Vamos para o gráfico três, Vinícius. Esse aqui, de fato, é bem mais complexo de se analisar. Nós temos as empresas por finalidade de uso de dados pessoais de funcionários e setor. Ou seja, a porcentagem de empresas que usam dados de funcionários e para qual
(28:58) atividade. E eles dividiram aqui em seis atividades. Inclusive, fica uma crítica aqui ao pessoal do Cetic: as cores dos gráficos, pessoal, têm que dar um contraste um pouco maior, porque fica bem difícil de ler.
— E tem uma coisa que, agora que você falou, eu me liguei. Lembrei de um relatório que a gente fez há muitos anos, e o gestor de TI para o qual a gente entregou o relatório era daltônico, e a gente não sabia. E aí ele sugeriu que a gente não só
(29:31) usasse cores diferentes nos gráficos, mas que utilizasse padrões diferentes, texturas, para facilitar a interpretação por quem é daltônico. Ele mesmo era, então sabia do que estava falando. Talvez seja uma coisa interessante também. Mas vamos lá, toca ficha.
— Eu não sou daltônico e, na primeira vez que olhei, não consegui identificar. É um gráfico difícil
(30:07) de se ler. Eu ia dizer aqui quais são as atividades medidas: avaliação interna de desempenho, monitoramento automatizado das atividades desempenhadas ou geolocalização — esse é um número que se repete, basicamente 20%, daria para dizer. Oferta de produtos e serviços é um número mais baixo, fica entre 9% e 13%. Controle de entrada e saída é o maior número aqui, o que chama muito a atenção. Ou seja, em todas as áreas, a maior finalidade do uso de dados de funcionários é o
(30:50) controle de entrada e saída. Criação e acompanhamento de planos de carreira e políticas de diversidade e inclusão… E essa seleção das finalidades me chamou um pouco a atenção. Por exemplo, agora me dei conta: não tem aqui toda a questão financeira do pagamento dos funcionários. Você tem um consumo de dados obrigatório dos funcionários para pagá-los, ou seja, aqueles dados normais. Isso não foi medido, e de propósito, porque em todos os casos esses dados vão ser tratados. Talvez seja óbvio, pode ser isso. Mas me chamou muito
(31:23) a atenção o fato de a gente ter altos números para políticas de diversidade e inclusão em todas as áreas: transporte (35%), área de informática (37%), atividades profissionais (29%), indústria (33%). Um alto número de tratamento de dados para políticas de diversidade. E talvez isso se dê pela questão do compliance. As atividades de compliance hoje já se preocupam há bastante tempo com a questão da diversidade e inclusão. Mas isso também pode envolver
(32:04) dados sensíveis, porque se você estiver falando de pessoas trans e todo o grupo LGBTQIA+, então você poderia ter… Eu não sei, não vejo isso muito na realidade, inclusive nos mais variados tamanhos de empresa, sabe? Não vejo isso acontecendo com esta frequência que vejo aqui. Mas veja, aqui é mais percepção mesmo.
— É que tem uma coisa importante também, que não é da minha área, que eu percebo na própria faculdade.
(32:40) Existe a necessidade da pessoa informar, quando está sendo contratada, essas informações, porque tem uma certa cota legal que a empresa tem que atender a partir de um certo número de funcionários. Senão, ela fica sujeita, provavelmente, a algum tipo de multa ou sanção. Então, talvez esse tratamento esteja aí refletido, entende? É uma coisa que a gente vê que todas as empresas, a partir de certo número de funcionários, têm que ter.
(33:10) Então, talvez esse número não seja tão alto, desculpa, talvez ele seja até baixo, se isso estiver sendo considerado na resposta.
— E tem essa dupla questão do monitoramento automatizado das atividades desempenhadas ou geolocalização, que foi de 11% a 23% aqui na informática, que é sempre um pouco maior nessas áreas. E isso pode estar apontando um problema, situações que podem ser um problema para a LGPD de
(33:47) maneira geral. Ou seja, estou imaginando situações de trabalho remoto, que são cada vez mais frequentes e que talvez não estejam refletidas aqui. Ou seja, há situações de trabalho remoto, mas você não estar monitorando isso, como nós já vimos acontecer. É uma situação em que o ideal é que você trate dados, justamente por questões de segurança e para, inclusive, conseguir medir as atividades de tratamento que estão sendo realizadas pela via remota. E pode ter aqui uma tendência de que essas atividades
(34:25) estejam acontecendo sem o devido acompanhamento. O próximo gráfico, Vinícius, gráfico 4, é sobre dados sensíveis, ou seja, empresas por tipo de dado sensível mantido, por porte e por setor. Então, eu tenho aqui pequenas, médias e grandes, de maneira geral, e o tratamento de dados sensíveis aumentou no total. Tivemos um aumento no tratamento de dados sensíveis em todos os cenários. O aumento total, que era de 24% em 2021, sobe para 30% em 2023. É um
(35:09) número importante. Nas médias, sobe bastante, de 36% para 50%. E no mercado de atuação, temos aumentos em todas as áreas: indústria aumentou 5%, construção acho que foi o que mais aumentou, de 13% para 22%, 9%. Isso pode demonstrar também o fato de essas empresas estarem se adequando a uma velocidade um pouco maior, ou seja, por começarem a se dar conta dos dados, inclusive a ter essa consciência. Porque se você pega uma empresa em que as pessoas
(35:48) não estão familiarizadas com os conceitos da lei, ao falar em “dados sensíveis”, o próprio problema da pessoa entender a pergunta pode, eventualmente, estar refletido aqui também. Transporte ficou estável, com aumento em áreas de informação e comunicação. Atividades profissionais também aumentaram bastante aqui, acho que mais do que construção. Mas esse aumento em todas essas áreas deveria também estar refletindo um aumento maior nas práticas de conformidade. A gente vai ver que até
(36:19) teve, mas talvez não acompanhe, porque estamos falando de dados sensíveis, que demandam cuidados maiores do ponto de vista da lei.
— Quer comentar algo aqui?
— Não, está tranquilo, pode ir.
— Vamos, então, para a próxima, que é “desenvolvimento de capacidades internas”. E ele começa a verificar, já no gráfico número cinco, as empresas por realização de reuniões internas para tratar do tema de proteção de dados pessoais, por porte. Eu acho até que a gente pode passar um pouco
(36:58) mais rápido por essas aqui, Vinícius, para chegarmos aos números que mais nos importam.
— Acho que a visão geral aqui é que o pessoal reduziu as reuniões, ou manteve mais ou menos a mesma coisa, ou reduziu. Não tem nenhum apontamento de aumento do número de reuniões.
— Não, aumentou em atividades profissionais somente, e em serviços também. Mas o resto todo ou ficou igual ou diminuiu.
— Ah, não, estou mentindo, calma aí. Alojamento e alimentação também aumentou.
— Mas, no geral, empresas de pequeno porte se mantiveram iguais (32%). Médias empresas caiu de 59% para 55%, e grandes de 73% para 65%. Mas o que esse número pode querer dizer? “Ah, os caras fizeram um monte de reunião há um tempo, preocupados com a LGPD, depois passou a preocupação e reduziram as reuniões”. Pode ser.
— Eu cheguei mais ou menos nessa conclusão também. Ou duas coisas: ou com o tempo passando e mais atividades de adequação sendo realizadas, se você for comparar com o número
(38:15) de reuniões necessárias para o início do processo, as reuniões efetivamente vão diminuir, se eu imaginar que as empresas estão aprendendo a lidar e têm conscientização. Então, pode, sim, haver uma tendência de diminuição de reuniões. Mas não podemos nos esquecer que você vai ter novos projetos, problemas, incidentes. Então, é difícil imaginar. Na nossa experiência, as reuniões vêm se mantendo e aumentando, pelo menos a sua necessidade
(38:49) aumenta. Ou, de fato, e esse número pode demonstrar aquela nossa preocupação, pode demonstrar uma diminuição na atenção para a proteção de dados. É difícil interpretar todos os dados ao mesmo tempo, às vezes eles se contradizem. Mas essa pode ser uma hipótese, sim: as empresas estão simplesmente diminuindo sua atenção, fazendo menos reuniões e pronto. O maior número
(39:23) registrado aqui foi de 65% nas grandes empresas em 2023. Ou seja, somente 65% das empresas está fazendo reunião sobre esse tema. Gráfico seis: “Empresas por existência de uma área específica ou funcionários responsáveis pelo tema de proteção de dados, por porte e setor”. Ou seja, a presença de uma área específica. Vemos aqui um aumento em todas as áreas: pequenas empresas subiu de 20% para 22%, médias de 41% para 43%, e deu um salto nas grandes, de 47% para 56%. E isso mostra que são as grandes empresas que estão
(40:12) liderando as atividades de adequação, de maneira geral. Claro, por múltiplas causas, a financeira é uma delas, sem dúvida, mas também de complexidade, de conhecimento. Mas isso demonstra um bom salto, de 47% para 56% nas grandes empresas, com saltos expressivos também nas áreas de informação e comunicação (de 35% para 51%) e atividades profissionais. E algumas diminuições na área de alojamento, alimentação e transportes; tivemos queda em áreas específicas. Opa, apagou
(40:57) minha luz, Vinícius. Enfim, essa diminuição nessas áreas também pode ser preocupante, porque quando a gente fala em transportes, alimentação e alojamento, podemos até ter dados sensíveis tratados, dependendo das circunstâncias. Então, também pode demonstrar uma necessidade maior de atenção para essas áreas. Depois, o gráfico sete, Vinícius: “Empresas por área ou departamento a que pertencem os funcionários responsáveis pelo tema de proteção de dados”. Aqui,
(41:42) me chamou a atenção que a pesquisa não verificou a existência de um setor de proteção de dados. Ou seja, um encarregado que pertence ao seu próprio setor, o setor do encarregado de dados. Isso não foi medido. Mas, enfim, o que mediram foi, entre 2021 e 2023, a quais áreas pertenciam. E esses números são interessantes. Temos um aumento de 1% do jurídico (de 32% para 33%), diminuição do compliance (me chamou a atenção, de 22% para 19%), uma pequena diminuição da TI
(42:21) (69% para 68%), diminuição de 1% na diretoria (53% para 52%), financeiro diminuiu, administrativo ficou igual, e outras áreas também. O enunciado talvez não explique muito bem. Será que está falando só sobre o encarregado, sobre a equipe do encarregado, ou sobre o envolvimento de pessoas desses setores? É difícil interpretar, mas me chama muito a atenção, e o estudo aponta exatamente isso, uma certa convergência entre aspectos de segurança digital e proteção de dados pela presença da TI na
(42:58) área.
— Sim, eu acho que isso é justificável. E tu vais ver no gráfico que TI e administrativo estão disparados na frente dos outros setores. Eu até achei que ia ter mais TI, inclusive. Mas, para mim, está muito parecido, sabe? Achei que fosse ter uma diferença maior entre TI e administrativo.
— Até porque você tem empresas que não têm TI, empresas que não têm compliance, então o administrativo…
— Entraria no administrativo, que caiu de 42% para 34%. O que me preocupa aqui, e eu tenho uma certa reserva quanto a isso, é um tema ao qual as pessoas não dão muita importância aqui no Brasil, mas na Europa é um dos grandes temas: o conflito de interesses. Aqui no Brasil, na verdade, em todas as áreas, nós temos uma certa leniência com conflitos de interesses. Vemos isso, antropologicamente
(44:17) explicado na história do Brasil. Enfim, você nota que aqui nós temos a TI, e quando ela está envolvida na proteção de dados, pode causar conflitos de interesses muito importantes. Na verdade, conflito de interesse pode ter em qualquer área, mas tradicionalmente, deixar na TI, pelo fato de a TI ser a área que vai tomar medidas de segurança, muitas vezes, quando não há uma área de segurança, ou quando vai ter suas práticas escrutinadas ou questionadas pelo encarregado… quando há
(44:52) essa independência, eu me preocupo um pouco com esse número alto. A própria diretoria também. Se a pessoa que vai cuidar da proteção de dados, ou se os grupos envolvidos — não somente o encarregado, mas também o encarregado —, se ele é um diretor, por exemplo, é muito provável que ele também tome decisões acerca do tratamento de dados na instituição. Então, eu tenho um problema de conflito de interesse ali. E se eu tiver, vou
(45:33) precisar de práticas para mitigar ou afastar esses conflitos em certas situações, o que deixa a questão muito mais complicada. Por isso que a gente sempre sugere a independência dos atores envolvidos aqui. Vinícius, o gráfico oito, se você quiser passar para nós: “Empresas por tipo de ações de treinamento ou capacitação”. Teve aqui, acho que dá para dizer, um aumento em todos, um aumento bastante importante de 2021 para 2023. Treinamento também é uma daquelas atividades fáceis
(46:11) de você demonstrar. A gente sabe que o treinamento é importante, deve ser feito, mas a realização de um treinamento é uma medida demonstrável e que traz um certo impacto, sobretudo quando a gente recomenda que você comprove que o treinamento foi feito, com certificados, testes quando possível, e tudo mais. Aqui, a própria questão do phishing poderia entrar também, mas não é bem treinamento. Em geral, os treinamentos que a gente faz antecedem um phishing para demonstrar mais a
(46:45) importância da segurança e da proteção de dados. Mas, assim, eu fiquei feliz. O número total sobe de 29% para 33%, com aumentos expressivos em algumas áreas. Mas é porque ele também mede por quem foi oferecido: se pelo governo, por outras empresas ou por instituições do terceiro setor. E tivemos, na verdade, uma diminuição de treinamentos oferecidos por outras empresas, pelo menos nas grandes empresas, ou seja, aquelas
(47:24) situações em que você contrata outra empresa para fazer o treinamento. E também, no número total, subiu de 29% para 33%, mas ainda é pouco, 33% no geral é pouco. São aqueles dois terços que a gente comentou no início.
— Sim. Os últimos… eu acho que esse, o gráfico nove, talvez seja o mais importante, Vinícius.
— É o mais importante e o mais difícil de ver. Aqui na tela ficou pequeno. Fizeram o gráfico mais alto. São as “Empresas por tipo
(48:00) de adequação à LGPD”. O que eles buscaram medir aqui? Quais são as medidas que estão sendo tomadas e a evolução de 2021 para 2023. Ele traz uma lista de medidas e simplesmente diz a porcentagem de empresas que fez aquela medida.
— Aqui, Guilherme, temos cinco medidas que estão num grupo claramente adiante das demais: realização de alterações em contratos vigentes (as empresas adequaram os contratos);
(48:37) elaboração de um plano de conformidade ou adequação à proteção de dados pessoais; desenvolvimento de uma política de privacidade que informa como os dados pessoais serão tratados pela empresa; e o outro item, que é a realização de testes de segurança contra incidentes, como vazamento de dados. Essas quatro primeiras estão mais ou menos, no geral, com 30%. Tem uma variaçãozinha na parte de contrato, que subiu de 28% para 35%, e de elaboração de plano de
(49:07) conformidade, que subiu de 24% para 32% entre 2021 e 2023. Mas esse é o grupo de destaque. Me chamou a atenção a “realização de teste de segurança” estar nesse grupo. A parte de teste de segurança contra incidentes de segurança com vazamento de dados. Não imaginei que estivesse tão par a par com medidas como, por exemplo, ajuste contratual, embora tenha uma diferença de 5-6% em 2023. Já as outras atividades…
(49:44) Tem umas que não foram medidas em 2021, que foram a elaboração de política de retenção e descarte de dados pessoais (essa foi medida só em 2023, com 25% do pessoal fazendo), e a outra, que em 2021 não havia sido medida, é a criação de um processo de avaliação de processos de tratamento de dados pessoais de empresas terceirizadas que sua empresa contrata, e elaboração de políticas de incidentes. Esses não haviam sido medidos. E nos demais, a
(50:24) gente tem várias outras coisas. Oferta de canal de atendimento, que diminuiu de 24% para 20%. Isso é estranho, diminuir a oferta de canal. Você mexe nos contratos, mas não oferece canal de atendimento. Aumenta a adequação, as atividades e práticas de adequação, e diminui o canal de atendimento? Você aumenta o comprometimento com a adequação, que é o que você faz no contrato, e aí vai lá e diminui o canal de atendimento?
— Mas esse número é importante, Vini. Essa avaliação que tu fazes, porque a gente estava conversando antes e meio que chega a uma conclusão, que é o seguinte: o contrato é uma medida importante, relevante, necessária. Obviamente, vai ter que mudar os contratos com operadores, controladores conjuntos, parceiros de negócios, toda aquela coisa. Mas, ao mesmo tempo, o contrato é uma medida demonstrável. “Bom, me adequei à LGPD”, algumas pessoas poderiam pensar, porque está longe de ser uma adequação somente mexer nos contratos. Isso não precisa nem destacar,
(51:36) mas se você pensa que somente alterar os contratos não é nem 5% do que precisa ser feito… Mas é algo importante e demonstrável. Mas, Vinícius e pessoal, a adequação dos contratos não garante que aquelas práticas estão sendo realizadas, ou, ainda, sequer a gente sabe qual é a qualidade dessa adequação contratual. Nós já vimos contratos em que você simplesmente coloca uma cláusula “deve cumprir a LGPD” e deu. Uma cláusula no meu contrato, ou “todas
(52:16) as leis que vierem”. Vejam, certamente esses contratos não foram lidos, não foram escrutinados. Então, me preocupa um pouco o contrato estar na frente, sabe? Porque é algo relativamente fácil, te dá segurança jurídica, evidentemente, no caso de incidentes, mas não é algo que garante que aquelas práticas vão estar sendo tomadas efetivamente. Você não consegue medir se o que está no contrato está sendo feito. Essa é uma preocupação, e na nossa experiência, já vimos diversos casos em que tem um
(52:48) contrato bonitão lá, mas na realidade está tudo o contrário do que está sendo dito. A própria elaboração do plano de conformidade, com 32% agora, é alto também. Você falou dos testes de segurança, eu acho alto também. Política de uso para funcionários, 30%. Gira em torno disso. E me chamou a atenção o inventário. O inventário, via de regra, é o ponto de entrada, você começa com o inventário para tomar pé da coisa, saber o que está acontecendo. E o inventário está lá no
(53:27) penúltimo lugar, Vinícius, 18% somente. Então, como é que você faz um plano de conformidade, como faz política, como altera contrato, como cria política para funcionários se você não tem o inventário? É algo que me chamou bastante a atenção. Temos o gráfico 10: “Empresas que alteraram contratos vigentes para adequação à LGPD”.
— Sim, o número bate com aquele gráfico anterior.
— Sim, mas aí ele pega a parte dos contratos, que foi o “ganhador”
(54:04) lá, e explode por grupos. Então, em serviços teve um aumento importantíssimo por setor. Construção teve aumento, diminuição na indústria, mas aumento nos transportes, aumento na TI, que já era alto (de 57% foi para 66%). Mas os maiores aumentos foram em atividades profissionais, que aqui entraria uma série de outras atividades, como imobiliárias, científicas, técnicas, administrativas. Seria uma área um pouco mais ampla. Mas nos serviços, a gente viu um aumento
(54:39) bastante grande. E por último, Vinícius, já indo para o encerramento, seria “Empresas por área de origem do encarregado de dados”. De qual setor o encarregado pertence. Aqui, mais uma vez, aquelas cores difíceis de interpretar, mas a grande maioria é da área de TI, depois financeiro. Aqui, definitivamente, as cores não ajudam, estou perdido. Mas é isso: TI, administrativo e financeiro sendo os setores dos quais saem os encarregados, com TI ganhando
(55:29) com 30%. E aí, remeto-vos àqueles comentários que fiz sobre o problema da independência, aqui especificamente do encarregado. Lá era a equipe, poderíamos até imaginar que, sendo uma equipe numerosa, tudo bem. Mas aqui, a crítica se faz um pouco mais importante. Não deveria ser assim. Você deveria ter uma área específica, como diz o regulamento do encarregado e todas as normas do exterior que falam sobre isso. No fim das contas, Vinícius, eu posso dizer que, sim, houve um aumento, mas acredito que o aumento, pelos
(56:08) números que vimos, foi tímido.
— Concordo.
— As alterações e o aumento em algumas práticas, principalmente no gráfico nove, parecem estar demonstrando algumas inconsistências, sobretudo quando a gente vê o contrato lá na frente e o inventário lá embaixo. Isso me acende uma luz de alerta de que, eventualmente, as coisas que estão sendo feitas talvez não estejam sendo bem feitas. E o risco que se coloca, tanto para nós, enquanto titulares, quanto para as empresas que estão
(56:46) deixando isso para trás, eu diria que é uma bomba-relógio. Isso vai estourar em algum momento. Isso tem consequências até do ponto de vista internacional para empresas que vão fazer negócios no Brasil. Porque se nós estamos tendo essa conclusão aqui no nosso podcast, numa sexta-feira, outros grupos também terão conclusões semelhantes, vão ler isso, e isso impacta na confiança de negócios. Então, eu termino aqui, Vinícius, com uma preocupação. Eu gostaria que os números fossem muito melhores.
— Eu
(57:23) concordo contigo. E, pior, às vezes, a nossa percepção é que a coisa está pior ainda do que aparece aqui. Mas veja, é a percepção.
— Sim, eu acho que é um quadro mais otimista do que a gente percebe. Mas, ao mesmo tempo, exatamente por isso, ainda considerando o cenário otimista, entre aspas, ainda assim é muito baixo. Mas vamos ver aquela questão: se a coisa começa a ter uma dinâmica maior no sentido de maior cobrança com relação ao respeito a essas regras de tratamento de dados, naturalmente essas curvas, esses gráficos, se alteram
(58:09) de maneira significativa. Mas enquanto não houver essa percepção de necessidade de se atender plenamente a esses itens, a gente vai continuar patinando. Me parece que a gente patinou de 2021 para 2023. Ficamos meio que na mesma, com alguns decréscimos ali. Canais de atendimento, para mim, chamou a atenção, é preocupante. Exercício dos direitos do titular. Então, assim, parece mais uma coisa para “cumprir tabela”, sabe?
(58:47) Essa adequação à LGPD que a gente tem visto parece mais uma coisa para cumprir tabela do que efetivamente para atender aos interesses do titular. Mas vamos ver, o tempo vai nos mostrar o que vai acontecer.
— Café quente?
— Não, não tem café quente hoje, não. Já queria dar café, e eu estou sem café aqui, só com água.
— Eu tenho um café frio aqui do dia anterior, que ficou na minha mesa, então melhor não tocá-lo.
— Não,
(59:20) deixa ele quieto aí. Vinícius, agradecemos a todos aqueles e aquelas que nos acompanham. Vou dar a parcial da nossa pesquisa do Telegram.
— Ah, é verdade.
— E do Discord. A parcial não está muito boa para mim. Nós temos… Que bom que estou perguntando no grupo do Telegram, né? Isso está enviesado. O Hilton está reclamando que faltou um “tanto faz”. O pessoal está escolhendo entre um e outro. Nós estamos com sete votos até o momento: 86% prefere o grupo no Telegram
(59:58) e 14% no servidor do Discord. Se eu perder… Hamilton, se eu perder, eu vou apagar essa pesquisa e fazer outra. Faço o ditador. Se eu perder, vou sumir com os boletins da urna aqui. Mas, ó, vai ficar aberto para vocês seguirem votando lá no grupo do Telegram. E quem não participa do nosso grupo também pode opinar, se me ajudar a vencer.
— Aí, o cara está dando um golpe
(1:00:36) aqui.
— Não, mas são perfis, Vinícius. Eu li uma pesquisa sobre o Discord, e é um app de nicho ainda. Claro que a parte de vídeo e áudio é imbatível, é a melhor coisa que já foi inventada, que a gente já usou aqui, sem dúvida. Mas ele tem um pouco de nicho, sim. Mas nada impede que os dois coexistam para coisas específicas. Então, bem tranquilo, já estou me ajustando caso eu perca.
— Boa, achando uma saída.
— Sair D. Rosa. Bom, agora aguardamos, então.
(1:01:19) Esperamos que tenham gostado e aguardamos todos e todas no próximo episódio do podcast Segurança Legal. Até a próxima!
— Até a próxima!
— Beleza. Eu estou aqui gravando ainda, só deixa eu fechar essas janelas de apresentação, que estou cheio de tralha aqui na minha tela. É um pouco denso aqui, né, Guilherme?
— Sem dúvida, mas é necessário, viu? E eu espero ter atingido também as empresas, sobretudo aquelas que não se adequaram. Isso aqui não é brincadeira. Não é porque a gente atua nessa área, eu falo isso honestamente
(1:01:58) mesmo. É um risco muito grande você não estar adequado e ocorrer um incidente. É muito grande, você pode ter muito a perder.
— Mas o que eu percebo é que adequar, pelo menos adequar direito, é uma coisa que demanda um certo investimento de tempo e dinheiro, não é algo que se consegue fazer fácil. O esforço…
— Claro, mas entra no tempo que tem que dedicar para fazer. E eu percebo, cara… bom, os nossos clientes não, porque eles entram em contato com a gente justamente preocupados
(1:02:35) com esse tipo de coisa, não só com a proteção de dados, mas diretamente com a LGPD e também com a questão de proteção de sistemas, segurança. Então, acaba sendo um grupo com o qual a gente tem contato que já tem um certo viés na direção de fazer as coisas direito. Mas, em ambientes externos com os quais eu acabo tendo contato, eu percebo, de gestores e tal, uma preocupação muito secundária, muito
(1:03:19) pequena, diminuída. Uma coisa que não chama muita atenção, tem outras coisas para fazer, outros problemas para resolver. É a impressão que eu tenho, sabe? E vai ficando, cara, esse negócio vai ficando. Então, eu acho que tem muito disso. A gente não chega a perceber tanto porque não ficamos fazendo pesquisa com um monte de empresas, inclusive empresas que não são nossas clientes. Então, acabamos vendo o universo dos nossos
(1:03:49) clientes, que é um universo diferente, porque o simples fato de procurar esse tipo de serviço já demonstra uma preocupação. Mas é isso, cara, eu acho que a gente não está vendo o cenário todo.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
121 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
1 Listeners