Este texto é inspirado em nossa temporada do podcast Cybersafe, onde Paulo Baldin, Ronaldo Andrade e Calza Neto compartilham suas experiências e perspectivas únicas sobre cibersegurança. Paulo trabalha como CIO, CISO e DPO, Ronaldo é CISO no setor de seguros e Calza é advogado focado em direito digital. Juntos, eles mergulham em discussões sobre segurança digital com os entrevistados Beatriz Junque da LRI Advogados, Karolyne Utomi da Kaosu Advogados e Allex Amorim, fundador e presidente do IBRASPD.
A Lei Geral de Proteção de Dados (LGPD) trouxe à tona importantes debates sobre privacidade e proteção de dados no Brasil, mas desde sua promulgação, muitas empresas ainda enfrentam dificuldades para se adaptar completamente às suas exigências. Apesar de ser um avanço necessário para a proteção dos dados pessoais dos cidadãos, a implementação eficaz da LGPD ainda não é uma prioridade para muitas empresas, especialmente as de pequeno e médio porte. Neste conteúdo, vamos discutir os principais desafios e soluções para as empresas que desejam alinhar suas operações com as melhores práticas de cibersegurança e privacidade.
O que é o DPO?
Antes de começarmos a falar sobre LGPD precisamos explicar as responsabilidades de um DPO (Data Protection Officer) ou Encarregado de Proteção de Dados, o profissional responsável por garantir que uma empresa cumpra as leis e regulamentos relacionados à proteção de dados pessoais. Com a crescente preocupação sobre privacidade e segurança de dados, a figura do DPO se tornou essencial, as principais funções do profissional incluem:
- Conformidade: Garantir que a empresa esteja em conformidade com as leis de proteção de dados.
- Assessoria: Orientar a organização sobre questões relacionadas à proteção de dados e privacidade.
- Treinamento: Promover a conscientização sobre a importância da proteção de dados entre os funcionários.
- Contato com autoridades: Servir como ponto de contato com as autoridades de proteção de dados e auxiliar em investigações.
- Gestão de incidentes: Ajudar na resposta a incidentes de segurança e na notificação de violações de dados, quando necessário.
o DPO protege os dados dos clientes e colaboradores e contribui para a construção de uma cultura organizacional centrada na privacidade e na responsabilidade no tratamento de informações.
A Desaceleração na Implementação da LGPD
A LGPD trouxe uma mudança significativa no panorama jurídico e operacional das empresas brasileiras. No entanto, o que deveria ser uma adaptação rápida e eficaz ao novo regime legal tem enfrentado desafios consideráveis, a aplicação prática da lei ainda está distante do ideal, isso ocorre, principalmente, devido à falta de planejamento estratégico adequado por parte das empresas e do governo. As sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) têm sido relativamente brandas, o que muitas vezes não incentiva as empresas a adotarem medidas rigorosas de conformidade.
Quase um ano após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), é incorreto afirmar que as empresas brasileiras concluíram o ciclo de adaptação às novas regras. Um levantamento realizado pela RD Station com 997 participantes, sendo 60% deles microempresas, mostra que 77% das companhias estão atrasadas em relação às punições previstas na Lei.
De acordo com a pesquisa, apenas 7% das empresas finalizaram a adequação à LGPD, enquanto 8% estão na etapa final do processo. A maioria das empresas ainda parece estar começando a se adaptar, já que 69% afirmam não ter ou estar apenas iniciando a construção de uma política própria de proteção dos dados.
Como ressaltado pela advogada Karolyne Utomi, “a sanção não é o principal ponto. Mas a gente analisa, as sanções são muito baixas. […] O que é 7 mil reais para uma empresa que está fazendo uma venda enorme de dados?” as multas atuais são insignificantes para grandes corporações pode levar à desvalorização da importância da LGPD no cenário corporativo.

As pequenas e médias empresas, em particular, encontram dificuldades em priorizar os investimentos necessários para se adequar à LGPD. Elas estão frequentemente focadas em sobrevivência e crescimento econômico, adiando questões relacionadas à proteção de dados para um futuro incerto. No entanto, ignorar essas exigências pode se mostrar um erro caro, uma vez que a privacidade dos dados se tornou uma preocupação crescente para consumidores e reguladores em todo o mundo.
A Falta de Planejamento Estratégico
Um dos principais motivos que explicam a falta de avanço na implementação da LGPD é o planejamento estratégico inadequado, muitos empreendedores, especialmente nas pequenas e médias empresas, têm outras prioridades financeiras e enxergam o cumprimento da lei como um gasto adicional, em vez de um investimento necessário para o futuro de seus negócios. Segundo os especialistas do podcast, a falta de uma cultura preventiva em termos de proteção de dados é um grande obstáculo.
Na Europa, por exemplo, a implementação de leis de proteção de dados é vista como uma medida preventiva, essencial para proteger os direitos dos cidadãos, no Brasil, porém, as empresas tendem a agir de maneira reativa, ou seja, adotam medidas corretivas apenas quando enfrentam multas ou outras sanções. Essa abordagem, além de arriscada, expõe as empresas a possíveis danos reputacionais que podem ser difíceis de reparar.
O atraso na adaptação à Lei representa um risco significativo para as empresas. Embora as multas por descumprimento da LGPD possam chegar a 2% da receita (com um teto de R$ 50 milhões), as penalidades vão além disso, incluindo advertências, multas diárias, bloqueio ou eliminação dos dados relacionados à infração, e a suspensão ou proibição do tratamento de dados pessoais afetados.
Entre os fatores que contribuem para a lentidão na adaptação aos requisitos da LGPD, destacam-se a confusão sobre quais áreas necessitam de atenção especial e a falta de profissionais qualificados ou de conhecimento adequado dentro da organização. Essa sensação de desorientação é acentuada pelo fato de que apenas 3% das empresas pesquisadas possuem algum tipo de suporte, como consultorias especializadas. Em geral, parece haver uma falta de clareza sobre o que e como fazer para estar em conformidade com a nova legislação.
Cultura de Governança e Privacidade
Outro ponto discutido no podcast foi a importância da cultura de governança dentro das organizações. A adequação à LGPD não é apenas uma questão de cumprimento de leis, mas sim uma mudança estrutural na forma como as empresas lidam com dados. Uma empresa que implementa corretamente a LGPD mostra ao mercado que está comprometida com a proteção de seus clientes e que opera de maneira ética e transparente.
Karolyne Utomi destacou a importância da conscientização dentro das empresas e na sociedade como um todo: “A primeira parte do plano é a concentração da população. Era para as pessoas entenderem o porquê da legislação. E não, ‘todo mundo tem que implementar’. […] Aqui no Brasil tem que ter punição, sim, senão ninguém vai se importar” . Esse ressalta a necessidade de uma mudança de cultura, indo além da simples adoção de ferramentas ou regulamentações.
Infelizmente, muitas empresas ainda não compreenderam a importância da governança em privacidade e proteção de dados. A mentalidade de “fazer o mínimo necessário” persiste, com muitas organizações tratando a LGPD como uma mera formalidade a ser cumprida superficialmente. Contudo, como apontado pelos especialistas do setor, essa abordagem só será efetiva até o primeiro grande incidente de segurança que essas empresas enfrentarem.
A Influência das Sanções Brandas
Um fator importante na desaceleração da implementação da LGPD é a percepção de que as sanções aplicadas pela ANPD são brandas e raramente significativas para empresas de grande porte. Multas no valor de R$ 7.000,00 para grandes corporações são consideradas quase irrelevantes, especialmente quando comparadas ao valor de seus negócios. Como resultado, muitas organizações incorporam essas multas como parte de seus custos operacionais, sem adotar medidas reais de adequação.
Além dos desafios de implementação da LGPD, as empresas brasileiras enfrentam um cenário complexo no que se refere à cibersegurança. A crescente sofisticação dos ataques cibernéticos, incluindo ransomware e violações de dados, tornou-se uma preocupação central para as organizações. Conforme mencionado no podcast, o crime cibernético gerou cerca de 8 trilhões de dólares em 2023, colocando-o como uma das maiores economias do mundo, se fosse considerado um país. Esse dado alarmante foi destacado por Allex Amorim: “Hoje, quando a gente pega o cenário de 2023, foi aproximadamente 8 trilhões de dólares o faturamento do cibercrime” .
As pequenas e médias empresas são especialmente vulneráveis a ataques cibernéticos, já que muitas vezes carecem dos recursos necessários para implementar medidas robustas de segurança. Infelizmente, a falta de preparação adequada resulta em ataques devastadores que, em muitos casos, poderiam ter sido evitados com medidas básicas de proteção de dados.
A Importância da Segurança por Design
Para mitigar os riscos de ataques cibernéticos e garantir a conformidade com a LGPD, é fundamental que as empresas adotem o conceito de segurança e privacidade desde a concepção (Security and Privacy by Design). Isso significa que as medidas de proteção de dados e segurança cibernética devem ser integradas em todos os aspectos do desenvolvimento de produtos e serviços, desde o início.
Como mencionado por Beatriz Junque, advogada especialista em direito digital, “A LGPD não está impedindo que você colete, que você trate dados pessoais, mas sim, está te ensinando a forma com que você deve fazer de maneira correta. […] O ponto principal é: você vai estar preparado para quando aquilo acontecer.” Essa observação ressalta a importância de as empresas adotarem uma abordagem proativa, ao invés de esperar que um incidente ocorra para agir.
Essa abordagem proativa permite que as empresas identifiquem e mitiguem riscos antes que se tornem problemas maiores. No entanto, como apontado pelos especialistas do setor, muitas organizações ainda tratam a cibersegurança e a privacidade de dados como questões separadas, o que pode resultar em lacunas significativas de segurança.
O Papel da Educação e Conscientização
A conscientização sobre a importância da proteção de dados e da cibersegurança precisa começar desde cedo. Uma das maneiras mais eficazes de promover uma cultura de segurança é educar os funcionários em todos os níveis da empresa sobre a importância de proteger os dados pessoais e adotar práticas de segurança adequadas. Isso inclui desde a conscientização sobre o uso de senhas fortes até o reconhecimento de ataques de phishing.
O que é phishing
Phishing nada mais é do que uma técnica de fraude online que tem como objetivo enganar pessoas para que revelem informações pessoais, como senhas, números de cartão de crédito ou dados bancários e dados sigilosos, dentro das empresas, o phishing pode ocorrer de várias maneiras, e os golpistas frequentemente adotam estratégias específicas para enganar os funcionários, sendo as mais comuns:
- E-mails falsos: E-mails que aparentam ser de colegas de trabalho, gerentes ou departamentos de TI, solicitando que a vítima clique em links ou forneça informações sensíveis.
- Simulações de segurança: Alguns ataques usam mensagens que informam sobre “problemas de segurança” ou “atualizações necessárias”, criando um senso de urgência que leva os funcionários a agir rapidamente.
- Sites fraudulentos: Links em e-mails podem redirecionar para sites que imitam portais internos da empresa, onde os funcionários são solicitados a inserir suas credenciais.
- Spear phishing: Os golpistas fazem pesquisas sobre a empresa e os funcionários para personalizar suas mensagens, tornando-as mais convincentes.
- Phishing via mensagens instantâneas: Usar plataformas de comunicação interna (como Slack ou Teams) para enviar mensagens que parecem ser de colegas ou superiores.
Karolyne Utomi também enfatizou a necessidade de conscientização dentro das organizações: “A gente precisa que a pessoa entenda da recepção até a questão do descarte, que é fundamental. […] A pessoa que está responsável pela organização do lugar, ela precisa entender que tem documentos que ela não pode simplesmente pegar num bolo e colocar” . Essa observação revela como o envolvimento de todos os níveis da empresa é essencial para uma estratégia eficaz de proteção de dados.
Além disso, é importante educar a próxima geração sobre os riscos associados ao uso irresponsável da tecnologia. Beatriz Junque mencionou sua experiência em iniciativas voltadas para adolescentes: “A maioria das vezes, quando eu estou conversando com os adolescentes, eles têm um negócio muito engraçado, que eles nasceram num mundo digital, então acham que está tudo certo. […] Na cabeça dele, é óbvio que passou por algum tipo de fiscalização” . Educar esses jovens sobre os impactos da privacidade e da segurança cibernética é fundamental para garantir que eles cresçam com uma mentalidade de proteção de dados.
