Com hackers criando novas estratégias para ganhar dinheiro fácil, independentemente de terem ou não instalados nas máquinas os melhores pacotes antivírus do mercado, todas as empresas do mundo estão, a todo tempo, na mira de um ataque, que pode resultar em uma violação de dados. E aí o prejuízo é grande. Primeiro porque, quando ocorre uma violação de dados, as informações confidenciais são vendidas na dark web ou a terceiros.
Em segundo lugar, existe a Lei Geral de Proteção de Dados (LGPD) que prevê sanções para vazamento de dados, ou seja, ela estabelece penalidades para infrações à lei em geral. E é aí que entram os problemas: uma das determinações da norma é para que as empresas adotem métodos eficazes que garantam a segurança dos dados. Então, dependendo do caso, um vazamento pode ser considerado uma infração. E a empresa terá que pagar uma multa de 2% de sua receita, a qual pode chegar ao teto de R$ 50 milhões para quem não definir protocolos claros para a proteção de dados pessoais de consumidores e funcionários.
Lembremos do caso Cyrela, a primeira empresa brasileira condenada por vazamento de dados tratados com a LGPD: uma pessoa comprou em 2018 um imóvel. Dias depois, ela começou a receber telefonemas de empresas de decoração e instituições financeiras, ofertando serviços para seu novo patrimônio. Como não havia autorização do cliente de divulgação de suas informações, a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, explanou que, ao partilhar os dados confidenciais, a construtora transgrediu parâmetros como o de honra e privacidade. Então, além de uma indenização ao cliente de R$ 10 mil, a Cyrela teve sua marca afetada e foi proibida de repassar dados pessoais ou financeiros de seus consumidores, sob pena de multa de R$ 300 a cada contrato mal utilizado.
Nesse quesito, um estudo chama atenção. Somente nos Estados Unidos, em 2021, foram registradas 1.862 violações de dados. Tal número quebrou o recorde anterior, de 2017, com 1.506 casos. Segundo o Identity Theft Resource Center (ITRC), autor da pesquisa, setores como finanças, saúde, negócios e varejo são os mais habitualmente atacados, impactando milhões de americanos a cada ano.
No Brasil, a situação é ainda mais grave. Prova disso foi o episódio de 160 mil chaves Pix vazadas pelo próprio Banco Central do país. E, como diz o ditado, “não há nada tão ruim que não possa piorar”, uma pesquisa do Grupo Daryus, consultoria especializada no tema, aponta que só 20% das empresas estão completamente em consonância com a LGPD. No mais, 35% estão parcialmente adequadas, e outras 24% dizem estar na fase inicial do processo de harmonização à legislação.
Os problemas para quem não se adaptar são vários. A começar pelas multas, claro, mas não é só: informação vazada pode acarretar publicidade negativa e até suspensão do funcionamento das atividades de uma pessoa jurídica. E o advogado Guilherme Guimarães, especialista em Gestão da Tecnologia da Informação e Comunicação pela Universidade Tecnológica Federal do Paraná (UTFPR), se diz muito preocupado com o fato de 80% das empresas brasileiras não estarem adequadas à LGPD. “E entre aquelas que implementaram as medidas técnicas e administrativas, existem algumas que ainda esqueceram na gaveta o trabalho feito”.
Neste sentido, Guilherme, que é sócio da Datalege Consultoria Empresarial, ministrou recentemente a palestra “Regulamento para aplicação das penalidades previstas na LGPD. Você está preparado?”, na Assespro-PR/Acate, ensinando as empresas sobre a melhor forma de lidar com informações pessoais, evitando os abusos e o uso dos dados para fins não autorizados. Em suas palavras, “todos os negócios que coletam, armazenam e tratam informações pessoais têm que ter a garantia que esses dados sejam preservados, com total segurança. Ademais, é obrigação da pessoa jurídica fazer com que o titular dos dados tenha acesso às informações recolhidas, sendo que é do direito do funcionário ou consumidor requerer verificação, correção e até mesmo eliminação dos dados.”
Governança, riscos e conformidade
Isso quer dizer que, com as luzes cada vez mais voltadas para a privacidade sobre dados pessoais, as empresas precisam – com urgência – refletir sobre a gestão de governança, riscos e conformidade (GRC). “São práticas que, por si só, não confirmam adaptação à LGPD, o que necessita de um processo interdepartamental mais estruturado, envolvendo todas as áreas e colaboradores da empresa, com destaque para jurídico, RH, TI, governança e comunicação.”
Neste contexto, Josefina Gonzalez, presidente da Assepro-PR/Acate, destaca a tecnologia como ferramenta de apoio à harmonização à LGPD. “Hoje, felizmente, já contamos com o auxílio de ferramentas próprias para a adaptação dos processos, as quais identificam riscos ou ajudam na implementação de políticas e controles e até mesmo no treinamento da equipe.”
Ela chama atenção ao fato que, no Brasil, em muitos estabelecimentos, os processos são manuais, com informações significativas armazenadas em planilhas ou diretórios de rede, e sendo enviadas e transmitidas por e-mail ou WhatsApp. “E isso impossibilita qualquer iniciativa de controle de dados. O resultado é que não há como atender aos pressupostos de conformidade da LGPD”, comenta ela, salientando que, ao adotar mecanismos para atender à lei, além de ficar em conformidade com a legislação, a empresa demonstra preocupação com a privacidade, elevando a confiança e melhorando o relacionamento com os clientes, o que, por consequência, fortalece sua imagem perante o mercado.
Por fim, Guilherme diz o seguinte: “As empresas devem ter em mente que por trás de um dado pessoal existe uma vida. E dados pessoais nas mãos de pessoas mal-intencionadas podem destruir a vida de um ou mais indivíduos.”