A partir de 14 de agosto de 2020, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), entidade responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD), passará a autuar empresas públicas e privadas de todos os portes que não estiverem em conformidade, cobrando do Data Protection Officer (DPO) explicações no âmbito legal.
Como acontece muitas vezes no início de um novo momento do mercado*, essa “sopa de letrinhas” costuma dar um nó na cabeça das pessoas, o que as faz pensar que tudo é muito complicado, difícil de fiscalizar e que a nova Lei “não vai pegar”.
Antes que esse pensamento passe pela sua cabeça, saiba que a General Data Protection Regulation (GDPR), legislação europeia que inspirou a LGPD, já aplicou multas no valor de aproximadamente 56 milhões de euros (R$237 milhões) em cerca de um ano de vigência.
No Brasil a multa poderá chegar a 2% do faturamento, com teto de R$50 milhões (por infração), e as denúncias poderão ser realizadas pelo próprio titular do dado que se sentir lesado. Segundo o Gartner, menos de 30% de todas as organizações sujeitas à LGPD estarão completamente em conformidade até 14 de agosto de 2020.
Mais do que multas e penalidades financeiras bastante impactantes, não cumprir uma lei que trata de transparência e respeito aos dados pessoais, é algo que pode manchar a reputação e credibilidade de uma empresa.
Por isso, proteger a integridade do titular e seu direito de saber o que é feito de suas informações pessoais é se comprometer com os ativos mais importantes da atualidade: dados.
Tanto são importantes e vêm ganhando cada vez mais destaque, que o Senado Federal aprovou uma PEC (Proposta de Emenda à Constituição) que inclui a proteção de dados pessoais – inclusive nos meios digitais – na lista de direitos e garantias fundamentais do cidadão. Essa emenda deve fazer parte do quinto artigo da Constituição, o mesmo que garante que todos os cidadãos são iguais perante a lei.
Para o vice-presidente de Governança, Risco e Compliance da Vexia, João Carlos Orzzi Lucas, quanto antes as empresas começarem o processo de adequação à Lei, melhor será para o seu planejamento e orçamento. “Percebemos que muitas empresas ainda não têm planejamento para o processo de adequação. Isso deve ser pauta urgente nas organizações, pois o orçamento pode ficar comprometido por esse motivo no ano que vem”, alerta o executivo.
Orzzi conta ainda que o trabalho da Vexia na gestão dos dados pessoais não começou agora. “Proteção de dados faz parte da nossa rotina de trabalho há quase 20 anos, por sermos uma empresa de tecnologia com foco em gestão de risco e compliance. Agora a LGPD vai levar essa realidade a todo mercado e o Brasil vai ganhar muito com isso” conclui.
GDPR e LGPD: proteção aos dados pessoais viabiliza novo mercado global A formalização da LGPD será benéfica para o Brasil, principalmente no momento em que o Mercosul e a União Europeia fecham um acordo comercial que vai envolver 25% da economia global e quase 10% da população do mundo, conforme notícia divulgada pela rede BBC. Certamente, adequar as instituições nacionais para esse grande momento será imprescindível para o sucesso das iniciativas públicas e privadas do futuro. Vale lembrar que para fazer negócios com cidadãos europeus, será preciso cumprir a GDPR e, estar em conformidade com a LGPD já é um importante passo nesse sentido. |
Escândalos de vazamento de dados no Brasil
Em uma sociedade cada vez mais conectada e digital o vazamento de dados é uma das maiores ameaças para qualquer negócio. O maior escândalo mundial nesse sentido foi o do Yahoo, em 2013, afetando cerca de 3 bilhões de usuários.
Empresas brasileiras também já provaram o amargo sabor dessa experiência e, mesmo antes da LGPD entrar em vigor, o impacto reputacional foi bastante grande.
Confira alguns exemplos do que já aconteceu por aqui:
- Uber: a empresa foi multada em diversos países por esconder o vazamento de dados de seus clientes em 2016, quando criminosos roubaram dados de 57 milhões de pessoas (cerca de 200 mil brasileiras).
- C&A: a gigante varejista foi alvo de hackers, e dados de 36 mil clientes do sistema de vale-presentes e trocas foram expostos (como e-mail, valor adquirido como presente e data da compra).
- Banco Inter: em 2018 a instituição que opera exclusivamente online, admitiu a exposição dos dados de cerca de 20 mil correntistas e teve multa aplicada pelo Ministério Público do Distrito Federal e Territórios (MPDFT).
Como você pode ver, os números relacionados ao vazamento de dados são superlativos e mitigar as penalidades deve estar na ordem do dia.
Você deve saber que estar em conformidade com a nova Lei não garante que os dados pessoais tratados dentro do seu negócio estejam 100% seguros (até porque isso ainda é impossível de garantir tecnologicamente), mas a adequação reduz drasticamente a exposição ao risco e minimiza as possíveis sanções que recaiam sobre um eventual vazamento de informações.
4 insights práticos sobre a LGPD
Discussões ainda serão necessárias ao longo do processo de aplicação da Lei, pois a legislação do Brasil é muito mais generalista do que a versão europeia e vai vivenciar um amadurecimento ao seu tempo.
No entanto, as empresas públicas e privadas já devem dar início a essa transformação cultural e de processos pensando, principalmente, no budget destinado a ela.
A não adequação, certamente, é o caminho mais caro, tendo em vista as multas que podem ser aplicadas (por infração) e o risco reputacional. Portanto, estar em conformidade é um investimento para a empresa, não um custo meramente operacional.
Confira alguns insights que os especialistas da Vexia levantaram sobre essa questão:
#1 Reduza o risco ao máximo
Maurício Santos, head de Segurança da Informação da Vexia, explica que a primeira etapa do processo para estar em conformidade com a Lei é realizar um diagnóstico preciso do volume e do fluxo de informações dentro da empresa.
Para o executivo, é muito importante identificar o volume de dados pessoais que circulam nos sistemas e estações de trabalho, para que se possa separar os que precisam continuar sendo processados dos que podem ser excluídos. “Eliminar os ‘dados em excesso’, é uma excelente maneira de reduzir o risco de penalidades e multas”, avalia.
#2 Mind the gap
O famoso alerta do metrô londrino que orienta os passageiros a prestarem atenção no vão entre o trem e a plataforma de embarque pode ser aplicado à realidade da LGPD. As companhias devem estar especialmente atentas aos “buracos” que existem em seus processos, que podem abrir espaço para roubo e vazamento dos dados pessoais que estão sob sua tutela.
A head do departamento jurídico da Vexia, Fernanda Cortes Lopes Mainieri, conta que no diagnóstico realizado pela empresa, além do olhar técnico do time de tecnologia, existe o acompanhamento dos especialistas jurídicos com o objetivo de cobrir as lacunas legais que possam ser encontradas em qualquer etapa do fluxo de dados mapeado. Afinal, o não conhecimento de uma infração, não exclui a penalidade para a empresa.
#3 Busque a inovação
Além de proteger os dados pessoais de seus clientes, parceiros e funcionários, as empresas também devem se proteger. Uma tecnologia que vai ganhar força nesse sentido é o Blockchain. Segundo o Gartner, até 2023, mais de 25% das implementações de provas de consentimento vão envolver a tecnologia blockchain.
Nesse contexto, Diego Souza, head de Auditoria e Riscos da
Vexia ressalta a importância de documentar todo o processo como forma de provar o empenho da companhia em se adequar à LGPD para mitigar possíveis sanções administrativas, mostrando o comprometimento com a aplicação da Lei em seu ecossistema de negócios.
#4 Comece o quanto antes
O vice-presidente da Vexia destaca que muitas empresas ainda não têm orçamento definido para adequação à LGPD em 2019 e que o cenário tende a ficar crítico em 2020. “Quem começar a dedicar parte do orçamento agora, poderá fazer aportes com mais calma ao longo do tempo. As empresas que deixarem para pensar nisso aos ‘45 do segundo tempo’, terão que realizar um aporte mais significativo e em um intervalo menor”, orienta.
Para o executivo, o investimento realizado terá impacto positivo não somente nos processos “obrigatórios”, mas também em aspectos menos tangíveis como na transformação cultural dentro da empresa e na reputação da marca perante o mercado.
A Vexia oferece aos seus clientes um diagnóstico completo, bem como todas as adequações necessárias para garantir conformidade com a LGPD, executada por um time multidisciplinar nas áreas de tecnologia, direito, compliance e gestão de riscos.
Para saber mais como podemos te ajudar fale com um especialista!