Adequação à LGPD: Custo ou Investimento?

Adequação à LGPD: Custo ou Investimento? 1

Milena Maltese Zuffo

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em setembro de 2020 não preocupou tanto as empresas quanto a entrada em vigência das sanções administrativas, que ocorrerá em agosto de 2021. O mercado tem aproveitado esse tempo para conhecer as obrigações legais e quais medidas devem ser adotadas, sendo recorrente o entendimento de que os valores decorrentes do projeto de adequação seriam um custo para as empresas.

Os recursos despendidos com as medidas de adequação à LGPD são, na verdade, um grande investimento realizado que se traduz em grande economia futura.

O Instituto Ponemon publicou no ano passado o relatório anual sobre o prejuízo de um vazamento de dados pessoais. Segundo a pesquisa, o prejuízo médio global é de 3,86 milhões de dólares, dos quais 1,52 milhões de dólares representam o prejuízo decorrente de perda de negócio após o vazamento.

Fica claro, portanto, o alto dano causado à imagem e o abalo à confiança das empresas que enfrentam um incidente de proteção de dados pessoais. Inclusive, os riscos e contingências atrelados à proteção de dados já são considerados em procedimentos de due diligence e, segundo dados divulgados pela Euromoney Thought Leadership Consulting , ao menos 55% de seus colaboradores afirmaram que operações de M&A foram completamente paralisadas devido a contingências de proteção de dados identificadas ao longo da auditoria.

No Brasil, o prejuízo médio decorrente de um vazamento de dados ficou na casa dos 1,12 milhões de dólares. Os motivos pelos quais as empresas sofrem um incidente de proteção de dados são variados, mas a maior causa continua sendo ataques mal-intencionados (47%), seguida de falha no sistema (28%) e erro humano (25%). Portanto, além de se preocupar em manter um ambiente seguro, as empresas também devem investir no treinamento e atualização de seus funcionários.

É importante destacar que esses custos não são imediatamente percebidos pelas empresas, mas se diluem ao longo do tempo, podendo ser divididos entre gastos com a identificação do vazamento e contenção dos danos decorrentes. Ainda, segundo a pesquisa, companhias afetadas tendem a perceber prejuízos nos anos seguintes ao vazamento, o que acaba tornando difícil compreender o impacto negativo de não se adotar medidas preventivas. Nesse sentido, chama a atenção a pesquisa realizada pelo National Cyber Security Alliance , segundo a qual 25% das pequenas e médias empresas declaram falência após um incidente de proteção de dados.

O nível de preparação para um incidente de dados pessoais está diretamente relacionado à saúde financeira de sua empresa, e o tempo gasto entre a identificação do incidente e a sua completa contenção, bem como o nível de automação da segurança da informação são pontos sensíveis na economia dos prejuízos.

Dados pessoais não são tratados apenas no ambiente eletrônico. A legislação considera dados pessoais como toda informação de uma pessoa natural (física) identificada ou identificável e o tratamento seria qualquer atividade realizada com aquele dado. Fica claro, portanto, que o tratamento de dados pessoais também pode ocorrer em meio analógico (guarda de ficha de cadastro, cópia de documentos impressos, anotações contendo dados pessoais de clientes ou representantes comerciais, etc.). Independentemente do local em que se dá o tratamento, a empresa deve estar preparada para conseguir identificar a origem do incidente o mais rapidamente possível e, a partir daí, tomar todas as medidas necessárias para mitigar os danos e prejuízos.

Quando discutimos incidente de proteção de dados, tempo é dinheiro! As empresas que se preparam melhor para essas situações, adotando medidas de mitigação de risco e de adequação à lei, têm uma tendência a sofrer menos quando precisam enfrentar a situação de um vazamento de dados pessoais.

Nesse sentido, é importante mapear os processos da empresa sob a perspectiva do tratamento de dados, atividade que, no mercado, ganha o nome de “mapeamento de dados pessoais” ou data mapping. Ao final da fase de mapeamento a empresa deve conseguir enxergar um mapa seguro de fluxo de dados tratados, que a ajudará a identificar os riscos de sua operação e quais são suas vulnerabilidades, bem como a desenhar um plano de contingência e a reduzir o tempo de resposta ao incidente.

O fluxo de dados pessoais é algo vivo dentro das empresas. A maior parte das atividades do dia a dia das empresas envolve o tratamento de algum tipo de dado pessoal, e mudanças de estratégias ou adoção de novos métodos de trabalho podem afetar diretamente o fluxo de dados. Ou seja, o tratamento de dados pessoais não é estático.

O mapeamento, por outro lado, tende a refletir uma foto do momento da sua realização e é importante que a organização adote meios de manter esse mapa sempre atualizado. Há diversas soluções de compliance empresarial para proteção de dados que se mostram aliados relevantes na automação desse processo.

O processo de identificação da atividade empresarial sob a óptica da LGPD não é importante apenas na prevenção de vazamento de dados (incidente que mais chama a atenção pelo alto valor dos prejuízos), mostrando-se eficiente também na prevenção de outros tipos de incidente, como a correta identificação da base legal de tratamento, que aparece hoje como a principal violação à legislação de proteção de dados europeia (General Data Protection Regulation – GDPR) e, consequentemente, o maior motivo para aplicação de multas pelas autoridades competentes.

Também é necessário considerar que os incidentes não ocorrem apenas por atos mal-intencionados, havendo um percentual relevante de incidentes decorrentes de erros humanos. Nesse sentido, a preparação e treinamento da equipe para o correto manuseio e proteção de dados pessoais tratados no dia a dia das companhias é essencial para a mitigação desse risco.

Resta claro, portanto, que os custos de adequação à lei são um verdadeiro investimento, quando analisado a longo prazo, que não apenas mitiga os riscos e tende a diminuir os prejuízos percebidos pelas empresas quando estas experimentam incidentes de proteção de dados, mas também agrega valor à sua imagem.