O caminho para a adoção da Lei Geral de Proteção de Dados (LGPD) no Brasil tem sido longo, permeado por dúvidas e incertezas em relação à sua implementação e ao cumprimento das diretrizes que transformaram o tratamento de dados pessoais no País. A legislação, de 2018 entrou em vigor de maneira escalonada e, desde agosto de 2021, as organizações que atuam no Brasil estão sujeitas a sanções administrativas em decorrência do não cumprimento das regras impostas.
Empresas e órgãos públicos que violarem a lei podem receber advertências, multas, bloqueios, suspensões ou limitações, parciais ou totais, ao exercício de suas atividades – as multas podem chegar a 2% do faturamento, com um limite de R$ 50 milhões por infração. O desafio para adaptação está lançado e, apesar de ainda ser cedo para saber o impacto real que as penalidades terão no ambiente de negócios no Brasil, dados sobre a aplicação da General Data Protection Regulation (GDPR) –indicam do que pode acontecer por aqui.
Para a maioria das organizações europeias, o período de transição de dois anos não foi suficiente para garantir a conformidade com as regras estabelecidas pela GDPR. Só em seu primeiro ano em vigor foram aplicadas multas superiores a €53 milhões – o valor total de sanções até setembro de 2021 superava €1,2 bilhão. Entre as infrações mais comuns na Europa estão a insuficiência de base legal para processamento de dados; falta de medidas técnicas e organizacionais para garantir a segurança da informação; e a não conformidade com os princípios gerais de processamento de dados. Os setores que mais sofreram com multas foram Indústria e Comércio; Mídia, Telecomunicações e Radiodifusão; e Serviços Públicos e Educação. Em novembro de 2017, apenas 15% das empresas na região acreditavam que estariam em conformidade com a lei até maio de 2018, enquanto 54% delas só deram importância à GDPR pelo valor das multas aplicadas.
Esses dados mostram como o não cumprimento da lei pode ter um impacto real sobre o caixa e o funcionamento de uma organização. Embora no continente europeu a curva de punições tenha demorado cerca de 12 meses para se acentuar – em parte devido à fase de adaptação da autoridade regulatória –, esperamos que no Brasil esse tempo seja reduzido pela metade, justamente por já termos aprendido muito da experiência europeia.
É exatamente por conta deste cenário que o desempenho da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) se torna ainda mais fundamental para garantir a devida proteção aos direitos de liberdade e privacidade, tendo um impacto direto em como empresas e organizações desenvolverão suas estratégias para adequar processos à legislação.
Enquanto, por um lado a LGPD traz uma oportunidade de crescimento para empresas – uma vez que o uso de dados de forma ética e a implementação de boas práticas podem aumentar a confiança entre clientes e colaboradores –, por outro, a pressão regulatória trazida pela lei exigirá esforços consideráveis para o controle de qualidade no tratamento dos dados pessoais e para o aumento da responsabilidade nas medidas organizacionais de gestão do risco cibernético na proteção desses dados.
Assim, é de extrema importância a educação e conscientização dos indivíduos que lidam com dados pessoais – uma pesquisa realizada pela IAAP indica que mais de 70% das violações de dados são causadas por erro humano. As empresas já possuem práticas de compliance, mas necessitam fazer uma jornada integrada, considerando não apenas os negócios, como também a legislação. Para que as regras trazidas pela LGPD sejam cumpridas, é crucial investir em treinamentos referentes ao tratamento dos dados. Segundo uma pesquisa da Deloitte, apesar de as empresas estarem investindo em governança e na administração de acessos de dados no contexto da LGPD, a capacitação de pessoas para lidar com esses dados ainda não é uma prioridade entre as organizações entrevistadas.
Além das punições aplicadas pela infração da lei, é preciso se atentar às implicações que vão além das sanções econômicas. O impacto na percepção de marca das organizações que não se adequarem à LGPD pode ser ainda mais prejudicial do que o valor das multas e o dano causado às reputações de empresas no mercado é difícil de mensurar.
A adequação às regras da LGPD será fundamental para manter a saúde financeira dos negócios e as empresas que fizerem o dever de casa, adotando boas práticas e implementando processos que mitiguem riscos, observarão um aumento em seus índices de confiança e desempenho no mercado.
Uma das maneiras de minimizar o volume de multas e sanções decorrentes de infrações à LGPD é implementar um programa de conscientização e treinamento de colaboradores e terceiros que lidam diariamente com dados. A Associação Internacional de Profissionais de Privacidade (IAPP, na sigla em inglês) delineou um plano com seis passos para ajudar no planejamento de um programa de capacitação do tipo.
Fonte: Material originalmente publicado no portal Mundo Corporativo, revista digital da Deloitte