LGPD - Quem vai me multar afinal?

Claro que você já escutou esta, ou alguma destas seguintes perguntas:

  • A ANPD vai ter braço para multar ou fiscalizar todo o mundo?
  • Posso denunciar meu concorrente (ou meu vizinho)?
  • Vai faltar fiscal? Vai haver carência de blocos de multa? Os fiscais sofrerão LER (Lesão por Esforço Repetitivo) nas mãos?
  • As multas vão quebrar todas as empresas pequenas?

Sim, sempre precisa uma pitada de humor. Mas, vamos lá! 

Para começar, quando me fazem estas perguntas, ou mesmo quando tenho oportunidade de falar sobre o assunto, em reuniões, cursos, ou palestras, coloco que a multa não é a maior preocupação!

  • Como assim? Não é preocupante uma multa de 50 milhões de Reais?

Não disse isto! Disse que não é a maior das preocupações! 

Vamos ver: Quais são as possibilidades de que sua empresa, seja multada?

Para isto acontecer, primeiro, a empresa precisa ser auditada pela ANPD. E para ser auditada pela ANPD, deve ter havido um dos seguintes eventos:

  • Sua empresa foi denunciada
  • Houve um vazamento de dados
  • Você tirou a "sorte grande" e sua empresa caiu num pente-fino (possibilidade tão alta quanto ganhar na Mega Sena da virada).

Então, excluindo a Mega Sena (digo, a terceira opção), temos:

Vazamento de dados à vista!

Vazamento de dados: Ninguém está livre. Se sua empresa ainda não sofreu um incidente de segurança, acenda um par de velas, e espere para ver quando será! Incidentes de segurança aconteceram ou vão acontecer com todas as empresas! 

Não! Não estou (só) paranóico! É assim mesmo! Aquela frase "Só existem dois tipos de empresas: As que foram atacadas, e as que serão atacadas." é extrema e dolorosamente real!

Com a quantidade de riscos que existem, e com a proliferação dos novos, que são desenvolvidos todo o tempo, não tenha dúvidas em afirmar que seu sistema de segurança não é completamente efetivo. Nunca é! Só buscamos melhorar os sistemas e proteções, mas a segurança absoluta, simplesmente, não existe, e nunca vai existir.

Um dos incidentes de segurança, é o vazamento de dados. Ele pode ocorrer de uma ou outra forma, em uma enorme gama de alternativas e possibilidades. Funcionários descontentes (sua empresa têm algum?), clientes insatisfeitos (sua empresa têm algum?), concorrentes desleais (sua empresa têm algum?), ataques propositais, entre muitas outras possibilidades. Muitas, mesmo!

Se sua empresa sofrer um vazamento de dados, pela Lei, terá que comunicar à ANPD. E também aos titulares. Qualquer deles pode denunciar, ou recorrer, judicialmente, solicitando explicações, proteções, indenizações (ou outros "*ões" nas formas da Lei). E se você não comunicar, a multa poderá ser maior. Então... 

A outra possibilidade é de que sua empresa seja denunciada. 

Hmmm! E quando a sua empresa pode ser denunciada?

Quando alguém resolver denunciar! Sim! Só isto! Se um titular, qualquer um, de qualquer lugar do Brasil (ou inclusive de fora), decidir que é interessante denunciar sua empresa, ele poderá fazer isto! 

Quem seria capaz de denunciar a sua empresa?

Quem poderia fazer tal coisa? 

Titulares indignados com tratamento inadequado de seus dados (sua empresa têm algum?), Funcionários descontentes (sua empresa têm algum?), clientes insatisfeitos (sua empresa têm algum?), concorrentes desleais (sua empresa têm algum?), e mais alguns casos extras. Talvez aquele auditor ou consultor que se ofereceu para uma consultoria e sua empresa mandou às favas. Ele não têm nada a perder! As empresas, sim! E muito!

Então o risco de multa existe? Claro que sim! Todo o tempo! Qualquer idiota pode denunciar. E quando a ANPD receber uma denuncia, estará obrigada a apurar a situação!

Mas você disse que as multas não eram a maior das preocupações!

Realmente penso assim! As multas realizadas pela ANPD são só uma das dores de cabeça para quem não estiver buscando a compliance com a Lei. 

Na verdade, os outros fatore me soam muito mais preocupantes que a possibilidade da multa.

Ah? Que fatores?

Primeiro, se sua empresa for notificada e não cumprir em tempo, a ANPD poderá interromper as atividades de tratamento de dados da empresa. Já pensou no que isto significa? A multa, neste caso, já não importa!

Segundo, os fornecedores e clientes de todo o mundo passarão a exigir uma declaração de compliance, constante nos respectivos contratos, para poder transferir responsabilidades, no caso de problemas. Se sua empresa não possuir tal busca de cumprimento com a LGPD, não poderá fornecer tal declaração, e, com certeza, perderá clientes e fornecedores importantes (os maiores, sem dúvida, serão aqueles que pedirão revisão de contratos).

Terceiro, se sua empresa participa de licitações, ou projetos que impliquem qualquer atividade relacionada ao governo ou à grandes entidades ou empresas, tenha certeza de que eles passarão a exigir a compliance com a LGPD, para continuar participando.

Poderia citar outros, mas acho que estes três, além da famigerada multa, já são dores de cabeça suficiente!

Ou seja, a adequação da sua empresa, para cumprir com a LGPD é urgente! Mais que isto, eu usaria o termo D-E-S-E-S-P-E-R-A-N-T-E (assim mesmo, com maiúsculas e este monte de hífens, para que você entenda que estou, realmente, falando sério).

As empresas que tentem, mas não consigam adequar-se em tempo, terão muito menos problemas do que aquelas que, simplesmente, não façam nada a respeito. A LGPD é muito clara ao definir (em outras palavras) que a penalidade será inversamente proporcional ao esforço empregado pela empresa, no processo de preservação da privacidade dos dados do titular. Ou seja, se a empresa fez algo no sentido de implementar a LGPD, mas ainda assim, teve o infortúnio de sofrer um vazamento de dados, será muito melhor vista pela Autoridade Nacional de Proteção de Dados, do que aquela empresa que ignorou, completamente, as exigências da Lei.

Mas, ainda assim, reitero: Não é a multa ou a penalidade que me preocupa. Os outros fatores aqui demonstrados são muito mais importantes, e de consequências ainda mais catastróficas que uma "simples" multinha de 2% do faturamento, limitada a R$ 50M!

Respondendo à pergunta inicial: Quem vai multar as empresas serão os consumidores, os clientes, os titulares, os concorrentes, os fornecedores, enfim! Quem vai multar será o mercado no qual cada empresa está imersa! Muito mais que o governo, quem multará será o ecossistema empresarial que se encarregará de obrigar a que todos se adaptem. Ou morram!

---------------------------------------------------------------------------------------------

Aproveito para comentar que escrevi um livro sobre o tema, chamado LGPD Ninja, abrangendo todas estas questões, além de todo o processo de implementação da lei, em empresas de qualquer porte, através de um framework. O livro está disponível para aquisição em sites de departamentos, ou, diretamente da editora, tanto na versão impressa como na versão e-book. O link se encontra abaixo.

Versão impressa ou Versão e-book no site da editora Fross. 

Ou entre em contato em privado, se prefere uma versão direta do autor, autografada e com dedicatória.

Tenho certeza de que pode ser um importante subsidio para complementar os conhecimentos de todos os profissionais ou interessados na LGPD. Além disto, estamos oferecendo palestras e cursos sobre a Lei e sua implementação. Qualquer dúvida, contate-me em privado, por favor. Será um prazer conversar sobre o tema!


Publicado por
Sergio Pohlmann
CISSP, C|CISO, ISO 27701 Security and Privacy Information Manager / LGPD
Consultor LGPD Ninja