Mesmo após anos da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), muitas empresas ainda apresentam falhas na proteção de informações fiscais, trabalhistas e financeiras de funcionários e clientes. Problemas considerados “rotineiros” dentro das organizações seguem aumentando os riscos de vazamentos, ações judiciais e prejuízos reputacionais.
Para a advogada Aline Brito, especialista em regulação de proteção de dados e direito digital no Grupo Jacto, os principais erros não estão necessariamente ligados a grandes ataques hackers, mas a práticas internas que acabam sendo naturalizadas no dia a dia corporativo.
Falhas internas ainda são os maiores riscos
Segundo Aline, é comum encontrar empresas que compartilham planilhas com dados sensíveis sem qualquer controle de acesso, enviam holerites por e-mail sem proteção adequada ou armazenam documentos trabalhistas em drives compartilhados sem restrição.
“Também vemos informações circulando em grupos de WhatsApp corporativos ou acessos excessivos a pastas de RH e financeiro. Muitas vezes, colaboradores que não precisam visualizar determinados dados acabam tendo acesso completo a informações fiscais, trabalhistas e até médicas de funcionários”, afirma.
A especialista explica que esse excesso de permissões internas aumenta significativamente o risco de vazamentos dentro da própria empresa, situação que hoje está entre as principais causas de incidentes envolvendo dados pessoais.
Outro problema frequente, segundo ela, é que muitas organizações concentram esforços apenas em cumprir obrigações fiscais e trabalhistas, como eSocial, folha de pagamento e envio de declarações, sem olhar para aspectos relacionados à segurança da informação.
“Muitas empresas focam apenas em entregar a obrigação acessória, mas deixam de lado controle de acesso, rastreabilidade, retenção adequada de documentos e políticas internas de proteção de dados”, destaca.
Cumprir obrigação fiscal não significa adequação à LGPD
Aline Brito afirma que um dos principais equívocos das empresas é acreditar que o simples fato de possuir base legal para armazenar informações fiscais e trabalhistas já garante conformidade com a LGPD.
De acordo com ela, a legislação realmente permite que empresas coletem e armazenem diversos dados em razão de obrigações legais, previdenciárias, tributárias e trabalhistas. Porém, isso representa apenas parte das exigências previstas pela lei.
“O grande erro é achar que a adequação termina na coleta legítima da informação. A LGPD também exige proteção adequada, limitação de acesso, armazenamento pelo tempo correto e utilização compatível com a finalidade informada”, explica.
Na prática, a especialista afirma que muitas empresas coletam os dados corretamente, mas falham na governança dessas informações ao manter acessos abertos, compartilhar documentos sem critérios claros ou armazenar arquivos sem medidas mínimas de segurança.
“A LGPD não trata apenas da permissão para utilizar dados pessoais. Ela estabelece responsabilidade sobre todo o ciclo de vida da informação”, acrescenta.
Vazamentos podem gerar ações trabalhistas e danos financeiros
Além das possíveis sanções administrativas ligadas à Autoridade Nacional de Proteção de Dados (ANPD), o tratamento inadequado de informações pode gerar reflexos trabalhistas, tributários e financeiros relevantes para as empresas.
Segundo Aline, vazamentos envolvendo dados de funcionários podem resultar em processos por danos morais, especialmente quando há exposição de informações médicas, financeiras ou documentos pessoais.
“Dependendo do caso, o impacto ultrapassa a esfera regulatória. Existem consequências trabalhistas, operacionais e reputacionais muito sérias”, afirma.
Ela também alerta que o compartilhamento indevido de dados fiscais pode expor informações estratégicas da empresa, documentos protegidos por sigilo e abrir espaço para fraudes financeiras.
Na avaliação da especialista, os prejuízos reputacionais se tornaram uma preocupação crescente no ambiente corporativo. “Hoje clientes, parceiros comerciais e fornecedores observam cada vez mais como as empresas tratam dados pessoais. A perda de confiança pode gerar impactos comerciais importantes”, pontua.
Empresas precisam reforçar cultura de proteção de dados
Especialistas em proteção de dados defendem que a adequação à LGPD não depende apenas de tecnologia, mas também de mudanças culturais dentro das empresas. Entre as medidas consideradas essenciais estão revisão de permissões de acesso, treinamento de funcionários, definição de políticas internas e monitoramento constante das informações compartilhadas.
Aline Brito destaca que muitas empresas ainda enxergam a LGPD apenas como obrigação jurídica ou documental, sem integrar efetivamente a proteção de dados às rotinas operacionais.
