Desde a implementação da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020, as empresas têm se debatido com as implicações práticas da lei, que descreve o direito de um indivíduo sobre os seus próprios dados pessoais – inclusive em casos de violação de dados.

Os dados são um grande negócio há anos, mas muitos consumidores não sabem ao certo o valor de fornecer às empresas suas informações pessoais. Um dos objetivos da LGPD é dar a eles o controle de seus dados. Por sua vez, isso pode aumentar a confiança do cliente nas organizações.

Para muitas empresas, porém, a LGPD impôs mudanças significativas em suas operações, trazendo alguns desafios. E, por maiores que estes sejam, os riscos da não conformidade com a lei são ainda piores para o negócio.

Neste artigo, discutiremos o que é necessário para garantir conformidade com a nova lei e quais são as consequências em caso de violação de dados ou de algum dos requisitos do regulamento. Acompanhe!

Conformidade com a LGPD: o que é preciso?

A LGPD adiciona algumas camadas de complexidade à estrutura de tratamento de dados de uma organização. Para lidar com essas camadas, negócios de todos os portes precisam investir em novas tecnologias que permitam mapear, monitorar e proteger os dados pessoais de clientes, fornecedores e funcionários.

Isso significa investir tempo, dinheiro e experiência em processos e sistemas. Entre outras coisas, a LGPD exige que as empresas:

• Mantenham registros detalhados das operações de processamento de dados, em formato eletrônico;
• Sejam capazes de editar, excluir ou transferir as informações de um indivíduo a pedido deste;
• Sejam capazes de selecionar como os dados são processados ​​para cumprir com as permissões do cliente;
• Estabeleçam uma estrutura de governança e procedimentos para garantir que a equipe esteja ciente das funções e responsabilidades;
• Coletem o consentimento para uso dos dados junto ao titular de forma clara e objetiva;
• Implementem medidas adequadas para proteger os dados do cliente.

Este último ponto é particularmente significativo, porque os ataques cibernéticos representam um risco real e cada vez maior. O ransomware, um tipo de software malicioso (ou “malware”), é a maior causa de problemas de segurança nas empresas, com o Brasil estando entre os 10 países mais atingidos por ataques desse tipo.

Quais são as consequências de uma violação de dados ou de outro requisito da LGPD?

Considerando que temos mais de um ano de LGPD em vigor, a maioria das empresas começou a alterar seus processos há muito tempo. O progresso pode ser lento, mas vale a pena o esforço, porque se uma empresa entrar em violação, o impacto pode ser ainda mais caro.

As perdas potenciais incluem:

Multas relacionadas à violação de dados

Se uma empresa sofrer uma violação de dados, por exemplo, por meio de um ataque de ransomware, ela deve notificar a Agência Nacional de Proteção de Dados (ANPD) em tempo hábil após tomar conhecimento do fato. Ela deve fornecer detalhes da violação, e as autoridades decidirão se a empresa deve ser multada e, em caso positivo, quais serão as penalidades.

Isso implica, entre outras coisas, possuir sistemas de monitoramento que identifiquem uma violação rapidamente.

Litígios de clientes relacionados à violação de dados

As empresas também correm o risco de processos judiciais por indivíduos afetados por uma violação de dados, uma vez que a LGPD estabelece direitos básicos aos usuários sobre como suas próprias informações pessoais devem ser tratadas pelas organizações.

Diretores e executivos podem ser penalizados

Os membros mais seniores de uma empresa podem ser considerados diretamente responsáveis ​​por não garantir a conformidade com a LGPD, uma vez que deixam de implementar os processos e práticas relevantes.

Além disso, se uma empresa que sofre uma violação buscou aconselhamento de uma consultoria que se revelou negligente, a contratante pode mover uma ação judicial contra a contratada.

Dano à reputação

As empresas que não cumprem a LGPD também enfrentam danos à reputação. A nova lei prevê a publicação do incidente e as informações sobre uma violação podem se espalhar rapidamente, minando a confiança do mercado no negócio.

Além disso, as pessoas que não acreditam que seus dados estão sendo processados ​​de maneira compatível podem relatar a empresa diretamente à ANPD.

Multas e perdas financeiras

Além de tornar o incidente público, a LGPD também determina multas para as violações mais graves. Essas multas podem representar um grande rombo para as organizações, uma vez que podem chegar a 2% do faturamento anual da empresa ou até R$ 50 milhões, o que for maior.

Tornar-se compatível com a LGPD não é um processo que pode ser feito do dia para a noite, portanto, se você tiver alguma dúvida, conduzir uma auditoria de segurança de TI é um bom ponto de partida. Isso identificará quais problemas você ainda precisa lidar e como eles devem ser priorizados.

Interessado em aprender mais sobre como garantir a conformidade com a LGPD? Entre em contato com nossos especialistas e converse com um dos nossos consultores. Teremos o maior prazer em discutir suas opções.