LGPD: Informação e conscientização são fundamentais para evitar penalidades
Apesar de estar em vigor desde 2018, organizações brasileiras ainda estão gradualmente se adequando à LGPD. Para evitar penalidades e multas, empresas precisam entender quais aspectos de compliance são necessários para alcançar o resultado esperado.
Outubro 2021O caminho para a adoção da Lei Geral de Proteção de Dados (LGPD) no Brasil tem sido longo, permeado por dúvidas e incertezas em relação à sua implementação e ao cumprimento das diretrizes que transformaram o tratamento de dados pessoais no País. A legislação, de 2018 entrou em vigor de maneira escalonada e, desde agosto de 2021, as organizações que atuam no Brasil estão sujeitas a sanções administrativas em decorrência do não cumprimento das regras impostas.
Empresas e órgãos públicos que violarem a lei podem receber advertências, multas, bloqueios, suspensões ou limitações, parciais ou totais, ao exercício de suas atividades – as multas podem chegar a 2% do faturamento, com um limite de R$ 50 milhões por infração. O desafio para adaptação está lançado e, apesar de ainda ser cedo para saber o impacto real que as penalidades terão no ambiente de negócios no Brasil, dados sobre a aplicação da General Data Protection Regulation (GDPR) –indicam do que pode acontecer por aqui.
Para a maioria das organizações europeias, o período de transição de dois anos não foi suficiente para garantir a conformidade com as regras estabelecidas pela GDPR. Só em seu primeiro ano em vigor foram aplicadas multas superiores a €53 milhões – o valor total de sanções até setembro de 2021 superava €1,2 bilhão. Entre as infrações mais comuns na Europa estão a insuficiência de base legal para processamento de dados; falta de medidas técnicas e organizacionais para garantir a segurança da informação; e a não conformidade com os princípios gerais de processamento de dados. Os setores que mais sofreram com multas foram Indústria e Comércio; Mídia, Telecomunicações e Radiodifusão; e Serviços Públicos e Educação. Em novembro de 2017, apenas 15% das empresas na região acreditavam que estariam em conformidade com a lei até maio de 2018, enquanto 54% delas só deram importância à GDPR pelo valor das multas aplicadas.
Esses dados mostram como o não cumprimento da lei pode ter um impacto real sobre o caixa e o funcionamento de uma organização. Embora no continente europeu a curva de punições tenha demorado cerca de 12 meses para se acentuar – em parte devido à fase de adaptação da autoridade regulatória –, esperamos que no Brasil esse tempo seja reduzido pela metade, justamente por já termos aprendido muito da experiência europeia.
É exatamente por conta deste cenário que o desempenho da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) se torna ainda mais fundamental para garantir a devida proteção aos direitos de liberdade e privacidade, tendo um impacto direto em como empresas e organizações desenvolverão suas estratégias para adequar processos à legislação.
Enquanto, por um lado a LGPD traz uma oportunidade de crescimento para empresas – uma vez que o uso de dados de forma ética e a implementação de boas práticas podem aumentar a confiança entre clientes e colaboradores –, por outro, a pressão regulatória trazida pela lei exigirá esforços consideráveis para o controle de qualidade no tratamento dos dados pessoais e para o aumento da responsabilidade nas medidas organizacionais de gestão do risco cibernético na proteção desses dados.
Assim, é de extrema importância a educação e conscientização dos indivíduos que lidam com dados pessoais – uma pesquisa realizada pela IAAP indica que mais de 70% das violações de dados são causadas por erro humano. As empresas já possuem práticas de compliance, mas necessitam fazer uma jornada integrada, considerando não apenas os negócios, como também a legislação. Para que as regras trazidas pela LGPD sejam cumpridas, é crucial investir em treinamentos referentes ao tratamento dos dados. Segundo uma pesquisa da Deloitte, apesar de as empresas estarem investindo em governança e na administração de acessos de dados no contexto da LGPD, a capacitação de pessoas para lidar com esses dados ainda não é uma prioridade entre as organizações entrevistadas.
Além das punições aplicadas pela infração da lei, é preciso se atentar às implicações que vão além das sanções econômicas. O impacto na percepção de marca das organizações que não se adequarem à LGPD pode ser ainda mais prejudicial do que o valor das multas e o dano causado às reputações de empresas no mercado é difícil de mensurar.
A adequação às regras da LGPD será fundamental para manter a saúde financeira dos negócios e as empresas que fizerem o dever de casa, adotando boas práticas e implementando processos que mitiguem riscos, observarão um aumento em seus índices de confiança e desempenho no mercado.
Pilares de conscientização no treinamento de privacidade
Uma das maneiras de minimizar o volume de multas e sanções decorrentes de infrações à LGPD é implementar um programa de conscientização e treinamento de colaboradores e terceiros que lidam diariamente com dados. A Associação Internacional de Profissionais de Privacidade (IAPP, na sigla em inglês) delineou um plano com seis passos para ajudar no planejamento de um programa de capacitação do tipo.
1. Estabeleça um entendimento comum de privacidade: Empresas e organizações precisam fornecer a seus colaboradores e terceiros uma definição comum de privacidade no tratamento de informações pessoais. Essa definição deve ser parte integral do treinamento de conscientização sobre o tema, garantindo que informações sejam coletadas, processadas e protegidas de maneira uniforme e consistente.
2. Considere o erro humano: Muitas vezes, ao tentar determinar a causa de um erro, não é incomum ouvir que a pessoa envolvida não sabia de uma política ou procedimento que define o uso adequado de informações pessoais. Instituir uma cultura de treinamento que reforce as políticas e procedimentos adotados incentivará as pessoas a lidar de forma adequada com as informações.
3. Considere a privacidade desde o início: Ao criar novos processos, é importante coletar todos os requisitos de uso de informações nas fases iniciais de qualquer projeto, assim como incluir um profissional especializado em privacidade nas discussões, desde suas concepções até a entrega.
4. Melhore as interações com o cliente: Uma equipe treinada sobre as políticas de privacidade da empresa tem melhores relações com clientes por saberem quais dados são importantes coletar e quais informações não são necessárias.
5. Amplie a atuação do departamento de privacidade: Profissionais especializados em privacidade são, geralmente, um recurso escasso na maioria das organizações. Considere um plano de treinamento que prepare sua força de trabalho para ter conhecimento suficiente para tratar de algumas questões de forma independente.
Mude o debate: Esses tipos de treinamento têm como objetivo mudar o debate em torno das questões de privacidade, fazendo com que as considerações em torno do tema deixem de ser tardias e passem a ser pontos fundamentais da discussão, habilitando as pessoas para atuar, cada vez mais, como protagonistas na tomada de decisões inteligentes que garantam a proteção de informações sensíveis.
Conheça as soluções da Deloitte Cyber e ouça o podcast Segurança cibernética para impulsionar os negócios no Spotify.