Quais são os riscos de não seguir a LGPD na sua empresa?

Os riscos de não seguir a LGPD na sua empresa são inúmeros, como multas, danos reputacionais e perda de confiança por parte de clientes e parceiros.

Em um mundo em que os dados pessoais adquirem uma importância cada vez maior para a vida das pessoas e para a economia, a Lei Geral de Proteção de Dados (LGPD), aprovada em 14 de agosto de 2018, visa trazer maior segurança jurídica para todas as questões envolvendo o tratamento de dados pessoais no Brasil.  

Neste post falaremos sobre as obrigações legais e riscos de não seguir a LGPD na sua empresa. Continue conosco!

Principais obrigações trazidas pela LGPD 

Com a LGPD, o Brasil se junta ao grupo de mais de 130 países que possuem suas próprias leis de proteção de dados e pode caminhar com mais tranquilidade para uma maior integração de seus negócios a nível global. Assim, a lei traz uma série de obrigações e garantias relacionadas ao tratamento de dados pessoais realizado em solo nacional. Estas obrigações se concentram principalmente em trazer mais transparência e responsabilidade para a forma como cada organização – seja ela pública ou privada – lida com os dados pessoais de seus clientes, consumidores, colaboradores ou parceiros. 

As obrigações trazidas pela LGPD têm como objetivo final garantir os direitos dos titulares (Sejam eles clientes ou colaboradores) dos dados pessoais tratados por uma empresa. Para isto, a Lei exige que as empresas: 

• Identifiquem a finalidade de cada atividade de tratamento de dados. Coletar e armazenar dados “por via das dúvidas”, ou sem um propósito claro e bem definido torna-se um risco; 
• Atribuir as chamadas “bases legais” para cada atividade de tratamento: As bases legais são hipóteses, previstas em lei, que autorizam o tratamento de dados para cada finalidade. Por exemplo: caso uma empresa precise coletar e armazenar dados de clientes por que outra lei lhe exige isso, ela atribuirá a essa atividade de tratamento a base legal de “Obrigação legal”. Caso o tratamento precise ser feito para salvar a vida de alguém, atribui-se a base legal da “Proteção da vida e da incolumidade física do titular.” E assim em diante.; 
• Manter um registro das atividades de tratamento: Para garantir que toda atividade tenha uma finalidade definida, e uma base legal atribuída, é imprescindível portanto que se crie um registro de todas essas atividades. Este registro, feito através do processo de data mapping, identifica todas as atividades de tratamento de uma empresa. Além disso, o registro costuma conter informações como: i) quais dados estão envolvidos nela, ii) de quem são estes dados, iii) qual a finalidade do tratamento, iv) qual a origem destes dados, v) com quem estes dados são compartilhados; vi) qual a base legal atribuída à atividade; e outras informações. 
• Adotar medidas de transparência: Além de respeitar as obrigações trazidas pela LGPD, é vital também que a empresa demonstre que respeita essas obrigações. Não só para a Autoridade Nacional de Proteção de Dados, como também para seus parceiros e para os titulares dos dados que tratam. Essa transparência pode vir na forma de políticas de privacidade publicamente disponíveis, do registro de atividades de tratamento mencionado anteriormente, e de outras medidas informativas granulares que estejam presentes em situações relacionadas à atividade de tratamento. Por exemplo, ao coletar o consentimento de um titular de dados para tratar certos dados, é importante que já se informe como aquele dado será tratado da forma mais transparente o possível. 
• Garantir a segurança da informação no tratamento de dados: É comum que se confunda proteção de dados com segurança da informação. Isto acontece porque a segurança da informação é uma forma indispensável de se garantir a proteção dos dados contra incidentes. Incidentes podem variar de acessos não autorizados maliciosos até vazamentos acidentais. É importante que toda empresa adote boas práticas de segurança para garantir que nem um nem outro venha a ocorrer, e caso ocorra, que medidas de contenção sejam adotadas o mais prontamente o possível. 

• Gerir as solicitações de exercício dos direitos do titular: Os direitos do titular de dados pessoais não existem apenas de forma passiva. Todo titular pode ativamente exercê-los através solicitações direcionadas à empresa. Estas solicitações são várias e podem se referir a direitos como de saber se a empresa trata dados daquele titular, e quais; para pedir que dados errados sejam corrigidos; e até mesmo para exigir que sejam excluídos e que o tratamento deles cesse, entre outros. Nem sempre, entretanto, a empresa é obrigada a acatá-los: em alguns casos, ela pode recusar com base na própria lei. Por exemplo no caso de um titular solicitar a exclusão de um dado que a empresa precisa armazenar por obrigação legal. É essencial que a empresa conte com profissionais capacitados, ou consultoria especializada, para que possa saber quando deve ou não atender a uma solicitação do tipo. 
• Apontar um Encarregado: Em alguns casos, a empresa pode precisar apontar um Encarregado (Comumente conhecido em inglês como Data Protection Officer ou DPO) que servirá como seu representante frente ao mundo. O Encarregado deve coordenar a resposta às solicitações de direito mencionadas acima, e responder à Autoridade Nacional de Proteção de Dados quando necessário. Além disso, ele também é responsável por coordenar a adequação da empresa à LGPD, conscientizar seus colaboradores e supervisionar o dia-a-dia das atividades de tratamento de dados pessoais. 

Leia também: LGPD na educação: como as instituições devem se adequar?

Riscos de não seguir a LGPD na sua empresa

Como se pode ver, não são poucas as obrigações trazidas pela LGPD. Mas quais as consequências trazidas pelo descumprimento dessas obrigações? Podemos listar várias, de diferentes naturezas. Estes riscos podem vir na forma de uma maior chance de incidentes de proteção de dados, de sanções e multas pela Autoridade Nacional de Proteção de Dados, ou até mesmo na forma de dano à reputação da empresa no mercado e consequente perda de confiança generalizada por parte de clientes e parceiros. 

As principais e mais evidentes são as sanções aplicadas pela Autoridade Nacional de Proteção de Dados. Estas sanções podem vir na forma de advertências, multas e suspensão da atividade de tratamento – que em empresas que tem o tratamento de dados como parte central do seu modelo de negócios, pode significar paralização total. As multas da LGPD podem ser de até 2% do faturamento da empresa, restrito a um valor máximo de R$ 50.000.000,00 (Cinquenta milhões de reais), por dia.  

A gravidade da sanção será sempre definida levando em conta as medidas adotadas pela empresa para evitar a infração que levou àquela sanção. No caso de um vazamento em uma empresa que sempre demonstrou fazer o melhor para se prevenir, que adotou boas práticas e que sempre respeitou os direitos de seus titulares, a sanção certamente será mais branda. Uma empresa que nunca se preocupou com a proteção de dados, e que venha a ser pega tratando os dados de seus titulares de forma inadequada provavelmente será penalizada de forma mais grave. 

O dano à reputação é a sanção mais grave 

Multas e outras sanções, entretanto, podem ser quantificadas e até mesmo contornadas. O maior motivo pelo qual as empresas devem se preocupar com a proteção dos dados de seus titulares, na verdade, é de que empresas que não se preocupam com a questão e que estão envolvidas mais frequentemente em incidentes acabam sujando seu nome no mercado, frente a parceiros e clientes.  

Estudos mostram que incidentes afetam severamente a confiança do consumidor na empresa, induzindo-os a não mais fazerem qualquer tipo de negócios com ela. Parceiros de alto nível também tendem a evitar fechar contratos com empresas que não demonstram comprometimento com a proteção de dados, pois as enxergam como riscos que poderiam ser evitados fazendo negócios com outras empresas mais bem adequadas à Lei. 

Por todos estes motivos, a adequação à LGPD não é apenas importante: ela é essencial para qualquer empresa que queira adentrar o século XXI desfrutando de segurança, confiança e credibilidade no mercado. Quando analisamos empresas nacionais e estrangeiras de atuação global, o padrão de comprometimento com a proteção de dados que a LGPD agora exige de todas as empresas já era o padrão há algumas décadas. 

Saiba mais: Lei Geral de Proteção de Dados: como se adequar à nova lei?

O que fazer para evitar estes riscos? 

Como vimos há inúmeros riscos de não seguir a LGPD na sua empresa. Sendo assim, quanto antes se iniciar a adequação a lei, a possibilidade de minimizar os riscos são grandes. 

O processo de adequação de qualquer empresa à LGPD é longo e complexo, porém é imprescindível para a conformidade legal e afastar as consequências e os riscos.

Essa adequação pode ser feita por um time interno ou através da contratação de uma consultoria externa especializada. E saber qual a melhor forma de iniciar um projeto de adequação em uma empresa já é um desafio por si só.

Para ajudar nesta questão, o escritório Camargo & Vieira desenvolveu uma forma de auxiliar empresas que não sabem bem como começar seu projeto de adequação. Sabendo da importância do compliance com a lei brasileira de proteção de dados pessoais, o C&V buscou desenvolver soluções que garantem a adequação de empresas ao novo cenário legislativo. 

O escritório oferece serviços de adequação total à LGPD através da nossa solução de LGPD Total, que consiste na realização de toda a adequação jurídica e procedimental de uma empresa aos enunciados da LGPD. 

Caso tenha interesse em saber mais sobre temas relacionados à nova lei, acesse nossos conteúdos sobre a LGPD clicando aqui! 

Gostou desse assunto ou acha ele relevante? Compartilhe nas redes sociais ou deixe seu comentário abaixo.