Os impactos da Lei Geral de Proteção de Dados Pessoais nas Empresas

Dezembro/2020

 

Os impactos da Lei Geral de Proteção de Dados Pessoais nas Empresas

Por GUSTAVO NEDEL 

http://linkedin.com/in/gustavo-nedel

 

​Após meses de expectativa, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no dia 18 de setembro de 2020, colocando o Brasil ao lado de mais de 100 países que possuem diretrizes específicas para o tratamento de dados pessoais. A LGPD foi inspirada em uma legislação que é uma das maiores referências no tocante à proteção de dados pessoais no mundo, a GDPR, ou General Data Protection Regulation, que é o regulamento europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, com vigência desde o ano de 2018, embora já tivesse um respaldo legal por meio da Diretiva Europeia sobre proteção de dados pessoais (Diretiva 95/46/CE), desde o ano de 1995.

 

​Em aspectos gerais, a LGPD é a lei que regulamenta o tratamento de dados pessoais por meio de pessoas físicas ou jurídicas de direito público ou privado, através de meios físicos e/ou digitais, a fim de assegurar a inviolabilidade da intimidade, da honra, da imagem do titular dos dados, dentre outros fundamentos elencados na Lei. 

 

​Como já é de conhecimento, hoje vivemos uma verdadeira Revolução Tecnológica e estamos em franca transformação digital. Avançamos muito nas últimas décadas em questões de telefonia (telefones, celulares, smartphones), conectividade (internet discada, internet de dados, 2G, 3G, 4G, chegando ao 5G), além de inúmeros sistemas, aplicativos e outros formatos de softwares que nos auxiliam e melhoram substancialmente nossa qualidade de vida. Neste sentido, através do avanço tecnológico, percebemos que passamos a enfrentar problemas éticos e morais acerca de quem pode controlar ou ter acesso aos nossos dados pessoais para definições de perfis (Big Data), e até mesmo encarar problemas de invasão de privacidade. E, na medida em que tais questionamentos foram levantados, pudemos observar que a coleta de dados pessoais, transmissão, compartilhamento, e até mesmo a venda de dados faz parte do nosso cotidiano, sendo realizada em todos os setores da economia e por todas as pessoas físicas e/ou jurídicas.  

​Tamanha é a importância que deve ser entregue ao tema de tratamento dos dados que uma espécie de mantra foi criado por consultores, executivos e interessados em transformação digital no Brasil, qual seja, a de que “os dados são o novo petróleo”, ou mesmo “data is the new oil”, frase facilmente ouvida no Silicon Valley, ou Vale do Silício, na Califórnia, Estados Unidos, berço de algumas das mais bem-sucedidas empresas do mundo, tais como Apple, Google, Netflix, Facebook, Microsoft, Intel, entre outras. Tal expressão faz todo o sentido pois os dados realmente são tão valiosos quanto o petróleo, sendo a única diferença existente entre eles o fato de que o petróleo acabará um dia. De acordo com um estudo da consultoria McKinsey, há cinco maneiras para acreditarmos que os dados serão o novo petróleo e que são capazes de gerar valor: informação transparente e utilizável em maior frequência; armazenamento em nuvem; melhor relação e segmentação dos clientes; tomada de decisões mais assertivas; e novos produtos e serviços.

 

​Neste sentido, a empresa que souber fazer o bom uso e tratamento dos dados pessoais e aproveitar todo seu potencial, sairá na frente de suas concorrentes, elevando sua confiabilidade e otimizando sua imagem no mercado.  

 

​Em que pese a exposição de todos estes sinais aptos a alterar o mindset do empresariado no Brasil, é possível ainda encontrar resistência à realização de um programa de implementação aos termos da LGPD, por julgar-se que a lei não terá aplicabilidade. Neste ponto, torna-se oportuno fazer uma breve analogia da LGPD com o Código de Defesa do Consumidor (CDC). O nosso CDC passou a vigorar no início dos anos 90 e também sofreu uma resistência dos empresários quando do início da sua vigência. Ocorre que os consumidores fizeram valer seus direitos elencados no CDC e os empresários se viram obrigados a se adaptarem à legislação, sob pena de perda de clientes e de concorrência no mercado. Assim, guardadas as devidas proporções, a LGPD é um “CDC de Dados”, pois o grande fiscalizador da lei será o titular de dados, o qual se trata de uma pessoa física que exigirá das empresas o tratamento de seus dados em conformidade com a legislação, ocasião em que as empresas também precisarão se adequar aos termos da Lei, sob pena de ficarem isoladas, adquirirem inúmeros problemas judiciais, encontrarem dificuldades em estabelecer novas parcerias, isso sem falar nas duras sanções administrativas que poderão ser aplicadas, as quais podem ir de uma simples advertência, passando por uma proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados até chegar em uma multa de 50 milhões de Reais (artigos 52 e 54 da Lei 13.709/2018), o que encerraria a atividade de muitas empresas no Brasil.  

 

​Neste seguimento, embora as sanções administrativas da LGPD só tenham aplicação a partir de agosto de 2021, por força do disposto no Projeto de Lei n. 1.179/2020, as empresas precisam estar preparadas desde já para as adaptações em seus negócios, até porque um programa de implementação nos termos da LGPD não é algo padronizado que seja facilmente incutido na mente de todos os colaboradores da companhia que está passando pelo processo de adaptação à legislação e também pelo fato de que já existe a possibilidade de responsabilidade judicial do controlador e operador que causarem dano a outrem quando do tratamento de dados em desconformidade aos preceitos da Lei (artigo 42 da Lei 13.709/2018). Afinal, a cultura da segurança e privacidade de dados somente estará inserida na cultura organizacional quando ela se tornar parte da rotina diária de todos os colaboradores. E este será um desafio coletivo que, dependendo do tamanho da empresa, levará meses para ser executado. Portanto, o programa de implementação deve ser iniciado de imediato, pois a Lei está vigente e as sanções em virtude de seu descumprimento poderão atingir desde o comerciante informal que possui um caderno físico para anotação de dados do consumidor, até os grandes conglomerados que tratam milhões de dados pessoais de clientes, funcionários e fornecedores. 

 

​Assim, o fato de a LGPD ainda não estar integralmente em vigor não deve significar um engessamento de iniciativas de adequação às diretrizes legais, especialmente diante de um cenário de pandemia, onde temos, segundo um levantamento do Instituto Gartner, 77% das pequenas e médias empresas no Brasil com seus funcionários trabalhando na modalidade home office. Tal cenário preocupa, vez que muitos funcionários levam para suas casas informações sigilosas das suas empresas, ou mesmo dados sensíveis de pessoas físicas (relacionados à saúde, sexualidade, religião, opinião política, origem racial, etc.), sem ter tido qualquer espécie de treinamento prévio, colocando em risco a segurança dos dados das organizações, podendo causar danos graves tais como roubo de informações confidenciais, ataques e invasões a servidores, entre outros. 

 

​Outro fator preocupante dentro do cenário de pandemia em que vivemos e de aumento do trabalho na modalidade home office é que o Brasil é o terceiro país no mundo que mais sofre tentativas de ataques virtuais, sendo alvo, de janeiro a junho deste ano, de mais de 2,6 bilhões de tentativas de ataques cibernéticos, de um total de 15 bilhões em toda a América Latina e Caribe. A informação é de um relatório divulgado pela Fortinet. Esses ataques a sistemas corporativos são responsáveis pela maioria das crises de imagem e confiança em negócios que armazenam e utilizam dados de clientes. Afinal, uma falha de segurança pode gerar prejuízos gigantescos a empresas por meio do roubo de informações e dinheiro, paralisação de seus serviços e diversos outros danos. 

 

​Toda a transformação que vem ocorrendo nas empresas, portanto, com novas tecnologias e regime home office, tem aumentado o número de vulnerabilidades, bem como de ataques. Outro fator preocupante é a prática de extorsão que os cibercriminosos podem cometer, caso identifiquem alguma fragilidade que permita o acesso a informações pessoais que estão sob a custódia de uma empresa, já que o hacker sabe que um incidente de vazamento de dados pode custar multas milionárias e, neste sentido, pode ele literalmente sequestrar os dados e solicitar um considerável valor de resgate pela devolução das informações. Tal situação não se trata de um simples exemplo, pois já existem quadrilhas especializadas nessa “expertise”. 

 

​Não bastasse isso, os próprios consumidores/titulares de dados vêm se preocupando cada vez mais com a sua privacidade e a forma de utilização dos seus dados pessoais, razão pela qual a falta de compliance de uma companhia aos termos da LGPD pode impactar negativamente na sua imagem junto ao mercado. 

 

​Portanto, o primeiro passo a ser dado pelas empresas é fazer um mapeamento de todos os dados que são tratados na sua operação, atividade esta conhecida por “data mapping”, onde identifica-se as bases legais, finalidades, ciclo de vida dos dados dentro da companhia, entre outros. E aqui, vale dizer, não se trata de um processo que ocorre de forma imediata, já que envolve uma mudança cultural dentro da empresa e, portanto, dependendo do tamanho da organização, pode durar meses até ser implementado. Neste sentido, o programa de adequação deve ser aplicado de forma completa, em todas as áreas da companhia. Por ser um assunto multidisciplinar, é salutar a criação de um Comitê Multidisciplinar, com representantes de todos os setores, para fins de contribuírem com o conhecimento de fluxos, processos e controles de segurança. Este grupo deve coordenar as ações a serem implementadas, sendo liderado por áreas como TI, Jurídico e Compliance. Também deve-se atribuir o papel de encarregado de proteção de dados (Data Protection Officer, ou mesmo DPO) a um colaborador, ou mesmo a terceiro, pessoa física ou jurídica, para fins de acompanhar o projeto e centralizar todas as necessidades da atualização. Mais do que nunca, é preciso garantir a completa visibilidade dos dados e a conformidade das soluções de segurança de uma empresa com as diretrizes da LGPD, além de exigir-se o comprometimento do capital humano da empresa para promoção das mudanças impostas pela Lei. 

​ 

​Como todos sabemos, a crise causada pelo Coronavírus nos mostra que o futuro é incerto, sendo o home office o único modelo seguro de funcionamento para muitos negócios durante o período de pandemia em que vivemos. Neste sentido, urge a necessidade para as empresas de elaboração de um plano de segurança de dados, mediante a adoção de medidas de compliance, para fins de evitar consequências jurídicas negativas em um futuro próximo, bem como para proteger a companhia de prejuízos para a sua imagem, problemas de relacionamentos com terceiros e ainda, de forma mais gravosa, a possibilidade de encerramento do negócio. 

 

​Portanto, o alinhamento das empresas e de seus colaboradores aos preceitos da Lei Geral de Proteção dos Dados deve ser interpretado como um investimento de ganho imediato, pois estar compliance com a referida legislação é uma excelente oportunidade para a realização de novos modelos de negócios, tendo em vista que aumentar o nível de privacidade, segurança, gerenciamento e até de descarte de dados pode ser encarado também como um diferencial em um mercado tão competitivo como o de hoje. Ademais, é importante ressaltar que a conformidade com a LGPD não abrange apenas os funcionários da empresa. Ela engloba, igualmente, fornecedores e terceiros que devem cumprir a Lei indistintamente.

 

​A questão, portanto, é: quais as consequências que sua empresa está disposta a sofrer, antes de adequar os procedimentos para a correta segurança da informação e proteção dos dados pessoais tratados? A resposta é que, embora possa parecer trabalhoso, um programa de adequação das empresas nos termos da Lei Geral de Proteção dos Dados deve ser tratado como um projeto corporativo, e deve ser encarado como um investimento, não só em razão da obrigação imposta pela Lei, mas também em relação aos benefícios que esta cultura trará para a companhia que estiver em compliance com a LGPD, tais como: melhoria na segurança dos dados da empresa, credibilidade no mercado, destaque perante a concorrência, conscientização de boas práticas por funcionários e clientes, redução de riscos de crimes virtuais e fraudes, melhoria de processos internos, melhoria na reputação junto ao mercado, redução de custos, aumento da rentabilidade e  aumento na qualidade de produtos e serviços.

Entre em contato conosco.

O e-mail foi enviado com sucesso.

Voltar para a página inicial

Ocorreu um erro no envio.

Tentar novamente