Lei Geral de Proteção de Dados: custo ou investimento para as empresas? Por Marcelo Farinha*
/ À medida que a crise provocada pelo novo Coronavírus compromete a lucratividade das empresas, austeridade se torna a premissa do universo corporativo. Como resultado disso, organizações estão revendo processos e orçamentos, e, muitas delas, na tentativa de aliviar os gastos, optam por postergar a adequação à Lei Geral de Proteção de Dados (13.709/18), que passou a vigorar em território nacional no último ano.
Aprovada em 2018, a LGPD posiciona o Brasil ao lado de mais de 100 países que definem normas específicas para coleta, armazenamento e tratamento de dados pessoais. Todavia, as sanções previstas pela lei poderão ser aplicadas apenas a partir de agosto de 2021. E, como culturalmente o brasileiro tem por hábito deixar tudo para a última hora, desta vez o cenário parece se repetir. Prova disso foi a pesquisa feita com mais de 400 organizações com atuação no Brasil e divulgada no mês de sanção da lei1, que pontou que 64% das empresas não estavam em conformidade com a LGPD. De lá para cá, pouca coisa mudou.
Antes de mais nada, é preciso destacar que a LGPD se difere da GDPR – General Data Protection Regulation em alguns pontos, já que a legislação europeia é mais incisiva e abrangente. A LGPD, por exemplo, define “dado pessoal” como “informação relacionada a pessoa natural, identificada ou identificável” -art. 5º, I, da referida lei-, já a GDPR, de maneira muito mais abrangente, utiliza em seu art. 4º, (1), 69 palavras para definir dados pessoais, ao contrário das 8 da LGPD2.
Inegavelmente, o cumprimento da lei brasileira, especialmente em uma realidade em que a maioria das empresas está pouco ou nada preparada, gera custos para as entidades obrigadas à adequação, que precisam contratar uma consultoria, atualizar sistemas, treinar a equipe, entre outros ônus, que variam de acordo com o porte, perfil e atividade do negócio.
Por outro lado, é preciso considerar que os riscos iminentes a um vazamento de dados são incalculáveis, e podem comprometer seriamente e de forma irreversível a imagem da organização. Para se ter uma ideia da dimensão deste problema, uma pesquisa realizada pelo National Cyber Security Alliance apontou que 25% das pequenas e médias empresas declaram falência após um incidente de proteção de dados (Tec Mundo). Outro estudo (CIO from IDG), da IBM Security, sobre o impacto financeiro das violações de dados nas empresas, revelou que uma violação custa, na média global, US$ 3,8 milhões para as organizações. De acordo com o mesmo estudo, incidentes nos quais os atacantes acessam a rede das corporações com credenciais comprometidas ou roubadas tornam o custo de uma violação de dados ser quase US$ 1 milhão mais alto, chegando a US$ 4,77 milhões.
No Brasil, quando analisado na perspectiva da indústria, esse custo médio da violação de dados corresponde a R$ 5,88 milhões (cerca de US$ 1,12 milhão). Os números são alarmantes e nos mostram o quanto a não adequação é prejudicial à sobrevivência de empresas, principalmente as médias e pequenas.
Cabe destacar que estar em consonância com a lei, representa, ainda, um diferencial competitivo para as organizações. Isso porque as empresas que não se adequarem em tempo hábil correrão o risco de perder contratos, parcerias, clientes e oportunidades de negócios. Ou seja, o bloqueio das informações e as multas, apesar de muito altas, não representam os maiores prejuízos resultantes da não conformidade.
Outro dado importante, resultado de uma pesquisa publicada pelo Instituto Ponemon, aponta que o risco que uma empresa brasileira tem de sofrer um ataque cibernético é de 43%, muito superior ao de países que possuem uma cultura de segurança digital, como Alemanha (14%) e Austrália (17%). Ou seja, mais importante do que se adequar à lei é criar, de fato, uma cultura corporativa de proteção e segurança dos dados. Desafio, portanto, não é se ajustar, mas manter-se em conformidade.
É preciso lembrar que nem todo o vazamento de dados resulta de atos mal-intencionados, apesar de esta ser a principal causa do problema. Falhas de sistema e erros humanos também
comprometem a segurança das informações, e precisam ser mitigados. Isso quer dizer que, além de se preocupar em manter um ambiente seguro, as empresas também devem investir na utilização de softwares e ferramentas e no treinamento de seus funcionários. A preparação da equipe para o correto manuseio dos dados pessoais tratados na atividade empresarial faz toda a diferença na conformidade à lei.
Não há dúvidas de que, especialmente quando analisada em longo prazo, a adequação, embora exija custos, representa um investimento para as organizações, ao passo em que mitiga os riscos e impede as autuações. Isso, claro, sem falar na preservação da reputação organizacional que, quando arranhada, pode levar qualquer negócio, por mais estruturado que seja, à derrocada.