Orçamento dedicado pelas organizações para privacidade aumentou neste ano, com gasto médio de US$ 873 mil

report iapp_Report

O Privacy Governance Report deste ano, produzido pela IAPP (International Association of Privacy Professionals) em parceria com a EY Law, analisa o cenário das profissões ligadas à privacidade e à proteção de dados em 2021, abordando os efeitos da pandemia da Covid-19, as dificuldades envolvidas na adequação às diversas leis de proteção de dados, principais atividades desempenhadas, entre outros aspectos. Os pesquisadores ouviram profissionais de privacidade de todo o mundo, com a aplicação de 473 questionários, sem a identificação dos respondentes.

Entre os principais resultados obtidos, o estudo mostrou que o orçamento dedicado pelas organizações para privacidade aumentou significativamente desde 2019, com estimativa de gasto médio neste ano de US$ 873 mil (quase US$ 200 mil a mais em comparação com 2020). Seis em cada dez entrevistados responderam que esse budget deve ficar maior em 2022. Quase ninguém indicou diminuição do orçamento.

Além disso, segundo a maioria dos profissionais de privacidade entrevistados, a adequação às normas de transferência internacional de dados é classificada como tarefa mais difícil relativamente ao compliance, sobretudo após decisão da Corte de Justiça da União Europeia, que invalidou o acordo EU-US Privacy Shield (“Schrems II case”) e questionou a legalidade de cláusulas contratuais padrão como meio de transferência de dados para fora do bloco econômico (sete em cada dez profissionais entrevistados trabalham em empresas que realizam transferência de dados para países que não fazem parte da UE).

No contexto pandêmico, a pesquisa revelou que menos empregadores estão coletando dos empregados dados de saúde relacionados à Covid-19, em comparação com o ano passado, apesar de 70% ainda manterem essa prática. Em meados de 2021, 44% dos empregadores ainda solicitavam algum tipo de dado de saúde dos funcionários, como temperatura e testes (30%), rastreamento de contato ou contact tracing (27%) e dados de vacinação (22%). Em relação ao último, espera-se aumento até o fim deste ano.

De fato, algumas empresas encorajam ou até mesmo exigem vacinação contra a Covid-19 por parte de seus empregados como pré-requisito para o retorno ao trabalho presencial. Nesse contexto, a pesquisa constatou ser improvável que empresas adotem unilateralmente esse tipo de requisito formal: apenas 27% dos entrevistados classificaram esse cenário como provável em sua empresa, enquanto 48% o classificaram como improvável ou implausível.

No Brasil, o tema tem sido alvo de debates. A Portaria 620/2021, publicada pelo Ministério do Trabalho e Previdência (MTP), proíbe o empregador de exigir quaisquer documentos discriminatórios, especialmente o comprovante de vacinação. O documento já teve trecho suspenso pelo STF (Supremo Tribunal Federal), além de ter sido alvo de Arguições de Descumprimento de Preceito Fundamental (ADPFs), já que, entre outros motivos, a Corte, durante o julgamento da Ação Direta de Inconstitucionalidade (ADI) nº 6.586, considerou ser “constitucional a obrigatoriedade de imunização por meio de vacina, que, registrada em órgão de vigilância sanitária, tenha sido incluída no Programa Nacional de Imunizações; tenha sua aplicação obrigatória determinada em lei; ou seja objeto de determinação da União, Estado, Distrito Federal ou Município, com base em consenso médico-científico”.

O Ministério Público do Trabalho (MPT), por sua vez, emitiu nota técnica recomendando que as empresas continuem exigindo o comprovante de vacinação dos funcionários enquanto durar a pandemia da Covid-19. Leia aqui o report que elaboramos com orientações para que empregadores possam garantir o retorno seguro e legal às atividades presenciais.

O estudo da IAPP em parceria com a EY Law analisou, ainda, o nível de adequação das empresas em relação ao GDPR (General Data Protection Regulation), ao CCPA (California Consumer Privacy Act) e à LGPD (Lei Geral de Proteção de Dados). Mais da metade dos entrevistados (51%) se qualificou com alta conformidade ou totalmente adequada ao GDPR, 41% disseram o mesmo para o CCPA e apenas 21% para a LGPD. Entretanto, parte dessa disparidade pode ser explicada pela diferença de escopo das três leis e pelo número de empresas às quais elas se aplicam (estando o GDPR em vigor há mais tempo e com maior alcance global). Se forem analisadas apenas empresas às quais a LGPD se aplica, 20% dos entrevistados afirmaram estar totalmente em conformidade com a Lei, enquanto 26% disseram estar altamente adequados.

As solicitações dos titulares de dados (data subject requests ou DSRs) para, por exemplo, acessar, retificar ou apagar seus dados pessoais têm ganhado destaque nas operações realizadas pelos profissionais de privacidade – com seis em cada dez organizações contando com time especializado para lidar com esses pedidos. Um complicador é o fato de que os titulares estão localizados em diversas partes do mundo, criando dificuldade por causa das particularidades de um local para o outro.

A maioria das organizações (58%) revelou levar alguns dias para responder a uma solicitação, com quatro em dez afirmando levar ao menos uma semana. Enquanto isso, uma em cada cinco organizações (22%) consegue acolher os pedidos em menos de um ou dois dias. Entre as dificuldades, segundo os profissionais, estão a localização dos dados do titular dentro da organização e o monitoramento das práticas de terceiros com os quais os dados são compartilhados.

Nossas equipes de Adequação à LGPD e de DPO as a Service permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp