Como diria o historiador e filósofo estadunidense Henry David Thoreau (1817-1862), “muitos sabem ganhar dinheiro, mas poucos sabem gastá-lo”. E tal frase nunca esteve tão em alta – tanto para as pessoas físicas quanto para as jurídicas. Prova disso está no endividamento das famílias brasileiras, que cresceu no mês de março, segundo a Pesquisa de Endividamento e Inadimplência do Consumidor (Peic), realizada mensalmente pela Confederação Nacional do Comércio de Bens, Serviços e Turismo (CNC). 

E engana-se quem pensa que só as famílias estão endividadas. Sobre as empresas, uma pesquisa do Centro de Estudos de Mercado de Capitais da Fundação Instituto de Pesquisas Econômicas (Cemec-Fipe) aponta que o endividamento das pessoas jurídicas fechou o ano de 2023 em 35,9% do Produto Interno Bruto (PIB). Esse patamar é próximo ao registrado durante a crise econômica de 2015, quando o percentual estava em 36,1%.

O motivo do endividamento empresarial

Neste sentido, para a maioria das companhias, chama atenção, para as contas no vermelho, a má gestão financeira, a falta de planejamento estratégico, o crescimento descontrolado, as variações bruscas no mercado. Ademais, outros fatores são: a falta de diversificação de receitas, custos operacionais elevados e financiamento inadequado e ineficiente, e a falta de adaptação à legislação.

No que tange ao cumprimento de obrigações acessórias, chama atenção a displicência de empresas de variados portes e segmentos com a Lei Geral de Proteção de Dados (LGPD). E essa é uma barreira que pode custar muito dinheiro.

Pesquisa Painel LGPD

Especialistas do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), com apoio da ferramenta Jusbrasil, identificaram 1.206 ocasiões nas quais os juízes citaram a lei na argumentação, em 2023. Este número é 81% maior do que o registrado em 2022 (665) e mais do que quatro vezes superior a 2021 (274).

No dia 12 de abril, a 3ª Turma do Superior Tribunal de Justiça (STJ) validou a determinação para que a B3 exclua os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado ao perfil de investidor na plataforma virtual da Bolsa de Valores.

No caso em análise, hackers, por meio de um ataque fraudulento, tiveram acesso ao perfil do investidor no sistema de informação da B3. A B3 contestou a decisão no STJ, alegando que a fraude ocorreu em um ambiente externo, na corretora.

LGPD x CDC

A ministra Nancy Andrighi, que baseou sua argumentação na LGPD e no Marco Civil da Internet, estabeleceu, para o caso, uma relação jurídica autônoma de consumo regida pelo Código de Defesa do Consumidor (CDC). Em outras palavras, foi disponibilizado uma plataforma virtual para acesso pessoal, direto e exclusivo dos investidores, de natureza informativa sobre seus investimentos.

Nancy destacou que, de acordo com a legislação, o titular dos dados tem o direito de solicitar a correção de dados incompletos, inexatos ou desatualizados, além do bloqueio e eliminação de dados excessivos ou tratados de forma irregular. Ela ainda ressaltou que, caso haja solicitação por parte do titular, o responsável pelo tratamento de dados deve remover os dados cadastrais inseridos indevidamente por terceiros que tenham obtido acesso não autorizado à conta do titular em sua plataforma.

Marco Civil da Internet

Por fim, no Recurso Especial (REsp) 2.092.096, a ministra destacou que a B3 é considerada um provedor de aplicação de internet, pois sua função é gerenciar e disponibilizar uma plataforma virtual para investidores, acessada por dispositivos conectados à internet. Dessa forma, as regras do Marco Civil da Internet se aplicam a essa atividade específica.

O caso da B3 reforça as informações da Pesquisa Nacional da Cultura de Privacidade – Palqee PrivacyCulture, realizada pela Palqee Brasil, em colaboração com a Copenhagen Business School e com a ESPM. Ela mostra que, de 7.673 organizações brasileiras, um alto número de participantes (87%) ainda não entende o que deve ser feito em novos projetos que podem oferecer riscos de privacidade. No que tange à segurança da informação, 48,1% não checa se os dados pessoais estão realmente protegidos antes de deixar seu posto de trabalho no fim do dia. Assim, os pesquisadores chegaram à conclusão que, mesmo as empresas que tenham aderido à LGPD não orientaram/treinaram corretamente seus colaboradores a implementá-la.

O atraso na adequação à Lei Geral de Proteção de Dados (LGPD) representa um grande risco para as empresas. Além das multas previstas, que podem chegar a 2% da receita (com limite de R$ 50 milhões), as sanções incluem outras medidas punitivas, como advertência, bloqueio ou eliminação dos dados relacionados à infração, e até mesmo a suspensão ou proibição do tratamento de dados pessoais.

Multas LGPD

Portanto, é essencial que as empresas se adequem às exigências da LGPD. Isso evitará as multas e protegerá a privacidade e segurança dos dados dos clientes.

Bruna Fabiane da Silva, sócia da DeServ Academy e eleita em 2023 como uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity), explica que hoje no Brasil existem dois tipos de empresas. Um grupo está em conformidade com a LGPD. E o outro está fora da lei.

“Para esse último grupo, duas verdades ganham prevalência. Em primeiro lugar, que o pior dinheiro gasto é aquele que se gasta duas vezes. Em segundo lugar, tudo o que ocorre sem planejamento tem grandes chances de dar errado”.

Analogamente à primeira verdade, na visão de Bruna, para não levar multas ou ter problemas judiciais, não resta outra alternativa senão investir em conformidade. Isto posto, o melhor a fazer é garantir que o investimento seja feito de forma correta para não precisar ser feito duas (ou mais) vezes. 

Portanto, aqueles que ainda não tomaram medidas em relação ao crescimento acelerado de processos podem estar em apuros se não agirem rapidamente. É hora de começar a se preocupar e tomar providências para evitar que incluam a marca empresarial nos futuros levantamentos de processos legais. É óbvio que quem não se adaptar sofrerá consequências negativas em um futuro não muito distante”, declara Bruna Fabiane da Silva.

Mas, como na prática evitar que isso aconteça? Por onde começar? Como ter a certeza de que a organização não está desperdiçando dinheiro com assuntos desnecessários? As dicas da especialista são as seguintes:

Preparação

Com a visão ampliada sobre a conformidade, o preparo para a adequação da LGPD é estruturado com os objetivos de curto, médio e longo prazo. O apoio da alta direção se reflete na melhor provisão de recursos, como orçamento, software de gestão, alocação de pessoal e tomada de decisão assertiva. Tudo para que a organização não se depare com um grande revés durante o processo.

Organização

O planejamento da conformidade com a LGPD, para a melhoria contínua, abrange pontos de treinamento para todos que manipulam dados pessoais. Isso envolve: criação de comitê de privacidade com os gestores das áreas, designação do Data Protection Officer (DPO); confecção de políticas de privacidade e segurança da informação; mapeamento de processos e fluxo de dados; enquadramento das bases legais; ajuste dos aditivos contratuais; gap assessment sobre o tratamento e consolidação de um plano de ajustes estruturados para correção dos gaps; demonstrando maturidade no entendimento das exigências da Lei.

Implementação ou execução

Nesse ínterim, se faz fundamental a conscientização dos colaboradores, implementação de políticas, ajuste de controles de segurança e mitigação dos riscos à privacidade. Tudo isso em conjunto visa garantir o exercício dos direitos dos titulares dos dados. Nenhuma organização sem estratégia consegue atender aos requisitos de privacidade e proteção de dados.

Governança

Nenhuma etapa pode ficar “solta” no processo de governança em privacidade e proteção de dados. O envolvimento das partes interessadas internas deve ser contínuo. Dessa forma, o DPO deve ter condições de executar suas atribuições para apoiar os setores no correto tratamento dos dados. Respaldar os setores não é o mesmo que fazer o trabalho de tais segmentos. O trabalho do DPO, portanto, precisa estar estruturado e bem entendido por todos da empresa.

Avaliação e auditoria

Checar os ajustes realizados e garantir que o gerenciamento será mantido e monitorado para sustentar as práticas aplicadas. Revisar e avaliar os processos garantirão que a empresa mantenha o respeito à privacidade e proteção de dados pessoais. A consequência será que ela estará mais preparada para suportar mudanças de processos, regulamentos, sistemas ou pessoas.

Resumindo: a conformidade com a LGPD não pode ser enganosa ou virtual. Ela deve ser real, ou seja, deve ter condições de ser implementada e evidenciada em todos os momentos enquanto essa lei estiver em vigor.

Além da preocupação em evitar multas, o desejo de estar em conformidade com a LGPD se deve também ao receio de arranhões na marca. “São riscos de prejuízos tangíveis e intangíveis que têm transformado a necessidade de especialização no assunto em verdadeira prioridade nas estratégias empresariais”, diz.

A Era do Diálogo

O tema “Ética, dados e transparência no atendimento do consumidor com o uso da IA” será trabalhado em A Era do Diálogo de 2024. O encontro está na 12ª edição e tem por objetivo unir vozes para moldar o futuro das relações entre empresas, órgãos reguladores e o consumidor.

Em síntese, a Era do Diálogo é um espaço único para reunir diversas pessoas a fim de fortalecer a compreensão mútua e encontrar soluções colaborativas para os desafios enfrentados tanto em nível individual quanto coletivo. Saiba mais em: A Era do Diálogo

O evento está programado para acontecer no dia 7 de maio, no Hotel Renaissance, em São Paulo/SP.