Recentemente em vigor, a Lei Geral de Proteção de Dados Pessoais (LGPD) [1] aborda, entre outras definições e obrigações, o dever de adotar medidas de segurança, técnicas e administrativas para garantir a proteção dos dados pessoais, bem como boas práticas e governança, a fim de prevenir riscos. Na teoria, deveres pontuais e bastante lógicos quanto à sua necessidade e benefícios de aplicação; na prática, um desafio diante da resistência das empresas brasileiras em adotar o compliance ou, ao menos, uma ignorância sobre sua importância e aplicação.
Para exemplificarmos melhor o problema, o relatório "Integridade corporativa no Brasil" [2], realizado em 2018 pela Deloitte, demonstra que cerca de 53% das empresas com receita anual maior que R$ 100 milhões até 2017 adotavam pelo menos 15 das 30 práticas concretas de gestão de riscos, controle e governança corporativa. Esse número despenca quando consideramos empresas com receita anual menor que R$ 100 milhões, para cerca de 20%. Quando consideramos que mais de 90% das empresas [3] do país são de pequeno e médio porte, entendemos melhor os desafios da implementação de boas práticas de segurança.
A LGPD traz um capítulo específico para tratar sobre segurança, boas práticas e governança. O Capítulo VII, especificamente a Seção II, aborda a possibilidade e necessidade de formulação de boas práticas e de governança, a fim de garantir condições adequadas de organização, fiscalização, padrões e normas técnicas, análise e prevenção de riscos e demais medidas educativas, que não diferem dos pilares e instruções de um programa de compliance digital.
Apesar de a lei instruir claramente o caminho a ser tomado para a conformidade e cabal aplicação das disposições legais, notamos uma cultura parcialmente construída de governança ou inexistente. Na prática, uma parcela não insignificante de empresas de pequeno e médio porte consideram irrelevante ou desnecessárias a aplicação de medidas de segurança da informação, conformidade e/ou análise e prevenção de riscos, frequentemente relacionando-as a gastos corporativos desnecessários ou ausentes de retorno financeiro relevante.
Mesmo quando confrontadas sobre a possibilidade de aplicação de multas ou outras consequências não legais, é comum ouvir argumentos como "não há fiscalização suficiente", "nosso negócio não é significante o suficiente para ser impactado ou fiscalizado" ou "conseguimos gerir com eficiência (por conta e sem auxílio capacitado) nossos riscos e incidentes", o que demonstra um nível de maturidade corporativa e de compliance baixo.
A dificuldade em solucionar ou mesmo em perceber a não conformidade e recorrer a suporte qualificado para analisar, prevenir e responder adequadamente a riscos e incidentes da informação é uma característica comum aos pequenos e médios negócios, em especial aos negócios familiares, mesmo quando falamos em empresas já consolidadas no mercado, o que, de uma certa forma, pode atravancar a correta implementação de medidas necessárias de compliance e a criação de uma governança eficiente para garantir os objetivos da lei.
Por outro lado, a rigidez e a grande quantidade de mudanças nas legislações e normas de regulamentação atrapalham ou, ao menos, intimidam empresas menores que não podem, e muitas vezes sequer conseguem, dispor de recursos suficientes para acompanhar as mudanças e exigências legislativas.
Independentemente do fator financeiro ou da rigidez legislativa, setorial ou não, a cultura corporativa brasileira, principalmente em relação às pequenas e médias empresas, é frágil e apresenta um baixo grau de maturidade [4] e de conhecimento da importância de conformidade legal, compliance e governança.
Como responsável por estimular a adoção de padrões técnicos, boas práticas e de governança, a ANPD terá uma tarefa árdua em criar uma cultura de governança corporativa e segurança da informação, garantindo que as empresas possam enxergar a conformidade como uma etapa essencial de seu negócio, facilitando o cumprimento e objetivos da lei, bem como sua fiscalização.
Se existe um certo grau de resistência para a criação de uma cultura geral de ética e de conformidade, podemos esperar ainda mais dificuldades quando restringimos à proteção de dados. Teremos, além dos desafios da correta implementação da LGPD, um fator cultural negativo que precisa ser combatido e a necessidade de desenvolvimento de uma cultura de conformidade, ética e prevenção, em que os envolvidos entendam os benefícios de sua aplicação, não apenas financeiros, mas reputacionais, legais e de governança.
[1] Planalto. Lei nº 13.709/2018. Lei Geral de Proteção de Dados Pessoais (LGPD). <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm>. Acessado em 23 de setembro de 2020.
[2] Deloite. Integridade corporativa no Brasil. 2018. <http://images.e-mail.deloittecomunicacao.com.br/Web/DeloitteToucheTohmatsuAuditoresIndepende/%7B8587c1c3-184b-46e7-9852-571353a790c4%7D_Integridade-corporativa-Brasil-ICC-relatorio.pdf>. Acessado em 23 de setembro de 2020.
[3] IBGE. Pesquisa anual do comércio. <https://biblioteca.ibge.gov.br/index.php/biblioteca-catalogo?view=detalhes&id=755>. Acessado em 23 de setembro de 2020.
[4] KMPG. Pesquisa Maturidade do Compliance no Brasil. 2019. <https://assets.kpmg/content/dam/kpmg/br/pdf/2019/10/br-pesquisa-de-maturidade.pdf>. Acesso em 24 de setembro de 2020.