Desde que a LGPD entrou em vigor, um número expressivo de empresas brasileiras passou pelo processo de adequação. Consultores foram contratados, políticas foram escritas, treinamentos foram realizados e relatórios de conformidade foram produzidos. E ainda assim, os incidentes de vazamento de dados não diminuíram proporcionalmente. Isso não é coincidência.

A diferença entre conformidade e segurança

A Lei Geral de Proteção de Dados, sancionada em 2018 e em vigor desde 2020, define obrigações mínimas para organizações que tratam dados pessoais no Brasil. Cumprir essas obrigações significa que a empresa está dentro do que a lei exige. Não significa que seus dados estão protegidos de forma eficaz.

Conformidade é uma dimensão legal. Segurança é uma dimensão operacional e cultural. As duas se relacionam, mas não se substituem.

Uma empresa pode estar cem por cento em conformidade com a LGPD e ter uma violação massiva de dados no mês seguinte. Conformidade e segurança são dimensões relacionadas, mas distintas.

O processo de adequação cria documentação. Documentação não muda comportamento. E são os comportamentos no dia a dia que determinam se os dados da organização estão de fato protegidos contra os riscos mais comuns.

O que a LGPD exige e o que ela não garante

O artigo 46 da LGPD exige que os agentes de tratamento adotem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

A lei não especifica quais medidas são suficientes. Deixa essa definição para o julgamento da organização, calibrado pelo contexto e pelo risco envolvido. Isso significa que duas empresas podem estar em conformidade com a LGPD com níveis completamente diferentes de proteção real.

As multas e o risco regulatório concreto

A ANPD, Autoridade Nacional de Proteção de Dados, tem competência para aplicar multas de até dois por cento do faturamento anual de uma empresa no Brasil, limitadas a cinquenta milhões de reais por infração. Desde 2023, a autoridade aumentou o ritmo de investigações e notificações.

Organizações que trataram a adequação à LGPD como um projeto pontual, sem revisão contínua, estão expostas a esse risco de forma crescente. Compliance que foi suficiente há dois anos pode não ser mais adequado hoje, especialmente em setores que sofreram mudanças regulatórias ou que ampliaram seu volume de dados tratados.

As três lacunas que a adequação deixa em aberto

Em processos de avaliação de maturidade em privacidade de dados, três lacunas aparecem com regularidade, independentemente do setor ou do porte da empresa.

A primeira é a lacuna de inventário. A empresa não sabe com precisão quais dados pessoais possui, onde estão armazenados, quem tem acesso e por quanto tempo são retidos. O mapeamento foi feito uma vez, para fins de adequação, e nunca mais foi atualizado.

A segunda é a lacuna de resposta. Existe um plano de resposta a incidentes documentado, mas ninguém nunca o testou em condições próximas do real. Quando um incidente acontece, a equipe improvisa. As primeiras horas, que são as mais críticas para limitar o impacto e cumprir os prazos legais de notificação, são desperdiçadas em discussões sobre quem faz o quê.

A terceira é a lacuna de cultura. Os treinamentos foram realizados, os certificados foram emitidos, mas o comportamento das pessoas não mudou de forma sustentável. Dados sensíveis ainda são compartilhados por canais não seguros. O treinamento informou. Não transformou.

ISO 27001 e CIS Controls como complemento à LGPD

Organizações que querem construir maturidade real em segurança de dados, além da conformidade com a LGPD, encontram na ISO 27001 e nos CIS Controls frameworks complementares e reconhecidos internacionalmente.

A ISO 27001 fornece um sistema de gestão de segurança da informação abrangente, com controles organizacionais, físicos e tecnológicos. Os CIS Controls oferecem uma lista priorizada de ações de segurança, organizada em grupos básico, fundamental e organizacional, que permite às empresas construir capacidade de forma incremental e com foco nos riscos mais relevantes.

O que vem depois da adequação

Maturidade real em privacidade e segurança de dados não é um estado que se atinge. É um processo contínuo de revisão, teste e melhoria. Envolve atualização periódica do inventário de dados, testes regulares do plano de resposta a incidentes, revisão dos controles de acesso conforme as pessoas e os sistemas mudam, e um programa de conscientização que vai além do treinamento anual obrigatório.

Adequação foi o começo necessário. Maturidade é o que realmente protege a organização, os clientes e os gestores responsáveis.