Opinião

Poucas empresas brasileiras estão preparadas para cumprir as regras da LGPD - Vítor Pedrozo

Vítor Pedrozo*

A Lei Geral de Proteção de Dados (LGPD) começa a sancionar empresas que descumprirem as normas sobre coleta e tratamento de dados pessoais dos clientes a partir de agosto. Essas punições vão desde advertências e multas de até 2% do faturamento da organização – limitadas a R$ 50 milhões por infração, indo até, nos casos mais extremos, ao bloqueio dos dados tratados pelo infrator.

No entanto, mesmo depois de quase três anos de ter sido sancionada (Lei 13.709/2018 – 14/08/2018), observamos que ainda há uma discrepância entre a percepção dos empresários sobre a LGPD e os impactos que ela causa no ambiente de negócios e a realidade vivida pelas organizações. Não basta fazer mudanças sutis no ambiente de Governança da companhia, como temos notado.

O momento exige agilidade para quem não se adequou à lei, a LGPD não é um projeto de início, meio e fim. Ele é contínuo e passa a fazer parte dos controles ao nível de entidade e da Governança Corporativa de cada organização. As empresas que ainda não se adaptaram às novas regras precisam trabalhar rapidamente nesse processo, realizando um diagnóstico minucioso nas áreas que tratam e suportam o tratamento de dados pessoais.

É preciso entender quais ajustes devem ser feitos e identificar as oportunidades de melhorias, tanto do ponto de vista de governança e de controles quanto de tecnologia e segurança da informação, de acordo com os termos da legislação e das boas práticas de mercado. Como dito, por não se tratar de um projeto de inicio, meio e fim, os processos que envolvem tratamento de dados, assim como todo o programa de privacidade e proteção de dados serão objetos de avaliações periódicas de maturidade e da incorporação dessa nova conduta dentro das operações. Quanto maior a demora, menos tempo útil para se fazer testes e entender qual é a estrutura mais adequada para a empresa.

Com o início das sanções, a preocupação maior recai sobre as multas que podem ser aplicadas, mas há muito mais em jogo para as empresas. Além da punição financeira, o empresário deve preocupar-se com as questões reputacionais envolvendo a sua empresa, e o quanto ela pode interferir no seu ambiente de negócios. Afinal, ninguém quer ter sua marca associada ao uso inadequado de dados pessoais no noticiário. Invariavelmente, isso causaria grande prejuízo à reputação da companhia, por descuido com sua integridade e Compliance.

Vale lembrar também que, em casos extremos, a punição pode chegar ao bloqueio de dados. Imagine ter seus dados eliminados? Para muitas empresas, isto seria como “fechar as portas” definitivamente.

É possível que, nos primeiros meses, a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação das penalidades, atue de forma mais educacional, de conscientização. Isto é importante para se criar uma cultura e alertar as pessoas sobre a importância da Lei, o que não significa um afrouxamento na punição de quem está descumprindo a legislação, pois nos casos recorrentes de infração, a sanção financeira deverá se aplicar.

* Sócio líder de Serviços Forense da Grant Thornton Brasil