Mesmo após tantos anos desde a implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil, muitas empresas continuam descumprindo a norma. A LGPD, que entrou em vigor em setembro de 2020, foi criada com o objetivo de proteger os dados pessoais dos cidadãos brasileiros, estabelecendo regras claras sobre como as empresas devem coletar, armazenar e tratar essas informações. No entanto, apesar do tempo decorrido, muitas empresas avançaram pouco na implementação da norma.
Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) intensificou a fiscalização sobre as empresas que não possuem um encarregado de dados, também conhecido como Data Protection Officer (DPO). A falta de um DPO é uma das principais infrações identificadas, já que este profissional é essencial para garantir que a empresa esteja em conformidade com a LGPD. O DPO atua como um intermediário entre a empresa, os titulares dos dados e a ANPD, sendo responsável por monitorar o cumprimento das políticas de proteção de dados e por orientar a organização sobre as melhores práticas.
E esses dados podem ser apenas a “ponta do iceberg”. Na realidade, ninguém sabe qual é o número de empresas que ainda não aderiram à norma. Não há um levantamento oficial único que consolide os números exatos de todas as empresas não aderentes à LGPD Pesquisas independentes apontam que, em termos gerais, o percentual pode variar entre 60% e 70% das empresas brasileiras, especialmente entre as de pequeno e médio porte. No caso das grandes, o número é ainda maior, podendo chegar a 80%.
Por que a falta de um DPO faz diferença
Em 2024, seguramente o Brasil ultrapassou o número de 700 milhões de ataques de cibercriminosos. Estima-se que ocorram quase 1.400 golpes por minuto e, claro, as empresas são os principais alvos dos criminosos. Crimes como o ransomware – no qual geralmente os dados se tornam “reféns” e que, para que não sejam publicados online, as empresas precisam pagar uma enorme soma financeira, se tornaram corriqueiros. Mas até quando o sistema – as vítimas e as seguradoras – vão suportar tamanho volume de ataques?
Não há como responder essa pergunta de maneira apropriada, ainda mais quando as próprias vítimas deixam de tomar as ações necessárias para a proteção das informações. A falta de um profissional focado na proteção de dados ou, em algumas situações, quando o suposto responsável pela área acumula tantas funções que não consegue desempenhar essa atividade de forma satisfatória, agrava ainda mais essa situação.
É claro que a designação de um encarregado, por si só, não resolve todos os desafios de adequação, mas mostra que a empresa está empenhada em estruturar um conjunto de práticas coerentes com a LGPD. Entretanto, essa falta de priorização não reflete apenas em possibilidade de sanções, mas também em riscos reais de incidentes de segurança, que vão gerar um prejuízo considerável. As multas aplicáveis pela ANPD são apenas uma parte do problema, pois as perdas intangíveis, como a confiança do mercado, podem ser ainda mais dolorosas. Nesse panorama, a fiscalização mais intensa é vista como uma ação necessária para reforçar os mecanismos de cumprimento da legislação e incentivar as organizações a colocarem a privacidade dos titulares em pauta.
Contratar um DPO ou terceirizar?
Contratar um DPO em tempo integral pode ser uma tarefa complicada, pois nem sempre há a demanda ou interesse em se alocar recursos internos para essa demanda.
Neste sentido, a terceirização vem sendo apontada como uma solução para empresas que desejam cumprir a legislação de forma efetiva, mas não dispõem de uma grande estrutura ou de recursos para manter um time multidisciplinar voltado à proteção de dados. Quando se recorre a um prestador de serviços especializado, a empresa ganha acesso a profissionais que têm mais experiência para lidar com os requisitos da LGPD em diferentes setores do mercado. Além disso, com um responsável externo a empresa passa a encarar a proteção de dados como algo integrado à estratégia, em vez de um problema pontual que só recebe atenção quando chega uma notificação ou quando ocorre algum vazamento.
Isso contribui para a criação de processos robustos sem que seja necessário um investimento volumoso em recrutamento, treinamento e retenção de talentos. A terceirização do encarregado de dados vai além de simplesmente nomear uma pessoa de fora. O prestador costuma fornecer consultoria contínua, realizando atividades de mapeamento e análise de risco, auxiliando na elaboração de políticas internas, conduzindo treinamentos para as equipes e acompanhando a evolução da legislação e das normativas da ANPD.
Além disso, há a vantagem de se contar com uma equipe que já possui vivência em casos práticos, o que reduz a curva de aprendizado e ajuda a prevenir incidentes que poderiam gerar multas ou danos à reputação.
Até onde vai a responsabilidade do DPO terceirizado
É importante destacar que a terceirização não exime a organização de suas responsabilidades legais. A ideia é que a empresa mantenha o compromisso de garantir a segurança dos dados que coleta e trata, pois a legislação brasileira deixa claro que a responsabilidade sobre incidentes não recai apenas sobre o encarregado, mas sobre a instituição como um todo.
O que a terceirização faz é oferecer um suporte profissionalizado, que entende os caminhos necessários para manter a organização em linha com a LGPD. A prática de delegar esse tipo de tarefa para um parceiro externo já é adotada em outros países, onde a proteção de dados se tornou um ponto crítico de gestão de riscos e governança corporativa. A União Europeia, por exemplo, com o Regulamento Geral de Proteção de Dados, exige que muitas empresas nomeiem um encarregado de proteção de dados. Lá, diversas empresas optaram pela terceirização do serviço com a contratação de consultorias especializadas, trazendo a expertise para “dentro de casa”, sem precisar criar todo um departamento para isso.
O encarregado, de acordo com a legislação, precisa ter autonomia para reportar falhas e propor melhorias, e parte das diretrizes internacionais sugere que o profissional deva estar livre de pressões internas que limitem sua capacidade de fiscalização. As consultorias que oferecem esse serviço desenvolvem contratos e metodologias de trabalho que asseguram esse tipo de independência, mantendo uma comunicação transparente com os gestores e estabelecendo critérios claros de governança.
Esse mecanismo protege tanto a empresa quanto o próprio profissional, que precisa ter a liberdade de indicar vulnerabilidades mesmo que isso vá contra práticas consolidadas dentro de determinado setor ou departamento.
A intensificação da fiscalização da ANPD é um sinal de que o cenário de tolerância está dando lugar a uma postura mais firme, e quem optar por não tratar desse problema agora poderá enfrentar consequências mais pesadas em um futuro não muito distante.
Para as empresas que desejam um caminho mais seguro, a terceirização é uma escolha capaz de equilibrar custo, eficiência e confiabilidade. Com esse tipo de parceria, é possível corrigir lacunas no ambiente interno e estruturar uma rotina de compliance que irá proteger a empresa tanto das sanções quanto dos riscos associados à falta de transparência e de segurança em relação aos dados pessoais que estão sob sua responsabilidade.
