A Lei 13.709/2018 pode começar a punir empresas que descumprirem as normas sobre coleta e tratamento de dados pessoais dos clientes a partir deste mês. Essas punições vão desde advertências e multas de até 2% do faturamento da organização – limitadas a R$ 50 milhões, até o bloqueio dos dados, alvos da investigação. Para Vítor Pedrozo, sócio líder de Serviços Forenses da Grant Thornton Brasil, há uma grande distância entre a percepção dos empresários sobre a LGPD e o que ela representa na realidade, “pois não basta fazer mudanças sutis no ambiente de governança da organização”.
Na avaliação do executivo, “o momento exige agilidade, para as que ainda não se adequaram à legislação. “A LGPD não é algo com início, meio e fim. Trata-se de um processo contínuo e passa a fazer parte da governança corporativa. Portanto, a empresa que ainda não se adaptou às novas regras precisa trabalhar rapidamente para iniciar esse processo, começando por um diagnóstico minucioso nas áreas que tratam dados pessoais”. E recomenda se entender quais ajustes devem ser feitos e identificar as oportunidades de melhorias, tanto do ponto de vista de governança e de controles quanto de tecnologia, de acordo com os termos da legislação. “A partir daí, tem início um processo de maturidade e incorporação dessa nova conduta dentro das operações. Isso é o principal, e, quanto mais demora, menos tempo útil para se fazer testes e entender qual é a estrutura mais adequada para a empresa”.
Com o início das sanções, a preocupação maior recai sobre as multas que podem ser aplicadas, mas há muito em jogo para as empresas. “Mais do que a multa financeira, o empresário deve pensar na reputação da sua empresa, o quanto ela pode interferir no seu ambiente de negócios. Afinal, ninguém quer ter sua marca associada ao uso inadequado de dados dos clientes no noticiário. Obviamente, isso causaria grande prejuízo à reputação da companhia, por descuido com sua integridade e compliance”, avalia Pedrozo.
Além disso, ele lembra que, em casos extremos, a punição pode chegar ao bloqueio de dados. “Imagine ter seus dados eliminados? Para muitas empresas, isto seria como decretar seu fechamento”, alerta. Para ele, é importante notar que as sanções podem atingir pessoas físicas ou jurídicas que realizam coleta e tratamento de dados em todo o território nacional, com o objetivo de fornecer bens e serviços. “Portanto, é necessário cumprir regras no tratamento de dados pessoais dos clientes, independentemente do porte da empresa”.
O executivo prevê que a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação das penalidades, deve atuar de forma mais objetiva a fim de identificar quem está descumprindo a legislação. “Espera-se que nos primeiros meses seja algo mais educacional, de conscientização, para criar uma cultura e alertar as pessoas sobre a importância da Lei. Acredito que, inicialmente, possam ter algumas advertências e avisos, mas para casos recorrentes a sanção financeira se aplicará.”