As empresas estão preparadas para a LGPD? Multas podem chegar a R$ 50 mi

Organizações devem mudar a forma como tratam os dados pessoais de clientes. “Todos devem se adequar”, diz CEO da Every Cybersecurity and GRC

“Os dados são o novo petróleo”. A famosa frase cunhada, em 2006, pelo matemático londrino Clive Humby revela como são valiosas as informações que trafegam no mundo virtual. A metáfora só não é totalmente precisa por uma única razão: o petróleo vai acabar um dia, já o volume de dados criados pelas pessoas não para de crescer. Atividades realizadas diariamente na internet, como comprar um produto, ler o jornal ou assistir um vídeo, deixam rastros digitais que permitem empresas dos mais diferentes ramos utilizá-los para diversos fins.

Em tese, sai na frente quem souber melhor refinar as informações para atingir seus objetivos. O problema é que nem sempre os donos desses dados sabem o que as companhias fazem com eles. Para dar uma organizada nesse cenário, em setembro deste ano entrou em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD), que estabelece, por exemplo, regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Entre outros pontos, a norma aumenta a proteção aos usuários e impõe uma série de penalidades para quem descumprir as medidas.

“As multas previstas variam de 2% do faturamento bruto de uma companhia até R$ 50 milhões (por infração). Ou seja, usar os dados das pessoas de forma não autorizada pode causar um grande baque para as organizações”, explica Eduardo Nery, CEO da Every Cybersecurity and GRC, especializada em auxiliar empresas a se adaptarem às novas regras.

A LGPD obriga que toda empresa que atue no Brasil adote processos mais seguros e transparentes no que se refere a informações pessoais de clientes e usuários. Além disso, a nova legislação permite que qualquer pessoa questione como os dados cadastrados em um site, como o nome completo, endereço, telefone, entre outros, são usados, por qual razão e por quanto tempo.

Hoje, é possível comprar um enorme banco de dados, com informações pessoais de milhares de usuários, na deep web ou mesmo na Rua 25 de março, em São Paulo. Como a nova lei possibilita o pedido de exclusão de informações pessoais das bases de dados das empresas, certamente veremos cada vez mais os consumidores entrando na justiça por conta de dados vazados.

Eduardo Nery, CEO da Every Cibersecurity and GRC

Um exemplo disso ocorreu em 2017 – época em que a LGPD ainda não estava em vigor – com o site Netshoes. A, então, gigante do e-commerce foi alvo de um vazamento de dados que atingiu mais de 2 milhões de clientes que tiveram uma série de informações expostas como e-mail, CPF e data de nascimento. Como resultado, a empresa teve que pagar uma multa de R$ 500 mil e ainda ligar para cada pessoa impactada explicando a situação. Também viu o valor de mercado da marca se desvalorizar da noite para o dia. “Além do prejuízo financeiro, as empresas têm um enorme impacto na credibilidade junto ao mercado”, acrescenta Vinícius Braga, gerente de privacidade de dados da Every Cybersecurity and GRC.

A nova legislação prevê também a criação de um órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional, chamado de Autoridade Nacional de Proteção de Dados (ANPD). Caberá a ele ditar as sanções, a partir de 2021, para quem não seguir as regras.

A lei detalha os papéis de quatro agentes envolvidos na questão da proteção de dados pessoais.

  • O titular: pessoa física a quem se referem os dados pessoais.
  • O controlador: quem coleta e decide sobre a finalidade e o tratamento dos dados.
  • O operador: quem trata os dados de terceiros sob as ordens do controlador.
  • O encarregado: funcionário da empresa ou alguma pessoa jurídica indicada pelo controlador que atua como canal de comunicação com as outras partes, além de orientar os funcionários do controlador sobre boas práticas em tratamento de dados.

“Empresas de diferentes portes que lidam com dados pessoais de terceiros, sejam privadas ou da administração pública, deverão se adequar”, alerta Braga. Enquanto a atuação da ANPD não se inicia, outras entidades como o Tribunal de Contas da União e o Ministério Público do Distrito Federal já estão fiscalizando os órgãos do governo e empresas privadas.

Por isso, muitos deles têm recorrido a empresas especializadas como a Every Cybersecurity and GRC para realizarem projetos de ajustamentos de processos e condutas internas. Entre eles estão o Serviço Federal de Processamento de Dados (Serpro), o Ministério do Meio Ambiente, a Eletronorte, a Companhia Energética de Brasília (CEB), a Imprensa Nacional, Apex-Brasil, entre outros.

“Nosso trabalho é realizar o diagnóstico e propor as adequações necessárias, entregando um plano de ação com cronograma e processos que deverão ser ajustados pelo cliente. Para isso, utilizamos uma metodologia própria e realizamos o acompanhamento com uma equipe multidisciplinar composta por profissionais de TI, com experiência em projetos de alta complexidade, e um corpo jurídico especializado em Direito Digital e Compliance”, explica Nery.

Muito além de ser um assunto que compete apenas ao departamento de tecnologia das empresas, a LGPD impacta diferentes áreas das organizações, como o comercial, o marketing, o jurídico, além de setores de riscos, compliance, de contratos, entre outros.

Com sede em Brasília, a empresa é líder no diagnóstico e na adequação para a nova legislação e já realizou dezenas de projetos para entidades públicas e privadas. “Como desenvolvemos uma metodologia que pode, inclusive, ser posta em prática de forma remota, atendemos clientes em outras praças como São Paulo, Rio de Janeiro e Pernambuco”, conta o CEO.

Um desses clientes é a Eletronorte, que iniciou, há alguns meses, as adaptações sugeridas pela proposta de conformidades para a LGPD. “Identificamos 156 processos que geraram 365 controles com planos de ação a serem desenvolvidos por áreas como recursos humanos, contratos, convênios, serviços terceirizados, fornecedores, comunicação interna e externa, tecnologia da informação e jurídico”, afirmou Fábio Solon, gerente do Departamento de Segurança da Informação Corporativa da estatal. Hoje, a empresa já executou 95% do projeto com várias entregas realizadas.

Outro parceiro que contou com a expertise da empresa foi a Imprensa Nacional, que, após identificar os principais gargalos em procedimentos internos teve que rever a maneira como atuava. “A Imprensa Nacional conseguiu entender melhor quais eram os dados pessoais e como eles estavam sendo tratados dentro dos processos de negócios relacionados ao Diário Oficial da União, que é um serviço fundamental para o governo e população”, comentou o CIO do órgão, Symball Rufino de Oliveira. O projeto, executado em 2018, foi o pioneiro dentro da esfera governamental a se adequar à nova legislação.

Treinamento na sede da Every Cybersecurity and GRC, em Brasília

Além de grandes projetos, a companhia atende clientes com estruturas menores, mas que devem passar por ajustes internos, como pequenas empresas do varejo ou do setor de serviços.

Para compartilhar informações sobre questões relacionadas à proteção de dados, a Every Cybersecurity and GRC também mantém um blog (bloglgpd.com.br) e está presente nas principais redes sociais, divulgando vídeos e conteúdos relacionados à LGPD. “Trata-se de uma mudança cultural muito grande para as empresas que impacta diferentes setores e mexe na forma como elas trabalharam durante anos. Por isso, esse movimento deve ter sempre o apoio da alta administração das organizações, além de ser feito um processo de educação com todos os parceiros – internos e externos – envolvidos nos negócios”, finaliza Vinícius Braga, gerente de privacidade de dados da empresa.

Every Cybersecurity and GRC

Site: www.every.com.br
E-mail: contato@everyti.com.br
Telefone: (61) 3548-1994
Redes sociais: Linkedin | Youtube | Facebook | Instagram

Sair da versão mobile