Por trás da multa de 10% do volume de negócios: supervisão de dados já entrou na esfera do conselho de administração

Pergunta ao AI · Como a transferência de responsabilidade do conselho de administração está remodelando a cadeia de decisão sobre proteção de dados?

Em 10 de março de 2026, a Coreia do Sul realizou uma nova rodada de revisões na Lei de Proteção de Informações Pessoais.

Esta alteração legislativa não é uma ajustamento institucional isolado, mas ocorre em um contexto muito específico — nos últimos anos, a Coreia tem registrado incidentes de vazamento de dados em grande escala, envolvendo setores como financeiro, telecomunicações, comércio eletrônico, entre outros, com a intensidade de fiscalização também aumentando simultaneamente. Diante dessa pressão real, o sistema anterior, orientado principalmente para atender aos requisitos de conformidade, tornou-se cada vez mais incapaz de suportar as expectativas regulatórias.

Foi justamente nesse cenário que essa rodada de alterações revelou uma mudança bastante relevante: ela não reforçou a fiscalização simplesmente “aumentando obrigações”, mas começou a ajustar uma questão mais fundamental — como as empresas realmente lidam com os riscos de dados.

Por um lado, as regras foram antecipadas. Com a introdução de um mecanismo que exige notificação assim que o padrão de risco legal for atingido, a conformidade deixou de partir do momento em que o “incidente já ocorreu”, sendo antecipada para a fase de identificação de risco; por outro lado, a responsabilidade foi transferida para cima. Ao reforçar a responsabilidade dos responsáveis pelas empresas, introduzir multas que podem chegar a até 10% do faturamento relevante, e incluir o responsável pela proteção de informações pessoais no sistema de decisão e reporte do conselho de administração, a proteção de dados foi formalmente integrada ao quadro de governança corporativa.

Se compararmos essas mudanças institucionais com uma série de casos de fiscalização recentes, perceberemos uma direção de mudança mais importante do que o simples endurecimento regulatório: o foco da fiscalização está mudando de “a empresa está ou não em conformidade” para “há alguém na empresa que avalia os riscos de dados e assume as consequências”.

Antes e depois da revisão, ocorreram vários vazamentos de dados representativos na Coreia. Algumas instituições financeiras registraram números de residentes em logs de sistema em texto claro, levando ao vazamento de milhões de informações; marcas sofreram ataques por controles de acesso e mecanismos de autenticação fracos, permitindo que atacantes acessassem dados de clientes; plataformas, por sua vez, por falta de medidas básicas de segurança, tiveram vazamentos ainda maiores.

Esses incidentes, superficialmente, têm um rótulo comum — “foi um ataque”. Mas, ao analisar sob a lógica de revisão regulatória, o problema não está no ataque em si.

A questão real é — as empresas carecem de uma capacidade básica de avaliação de risco em pontos críticos. Quais dados precisam de proteção de nível mais alto, quais vulnerabilidades estruturais existem nos sistemas, se comportamentos anômalos podem ser identificados rapidamente — esses problemas, que deveriam ser tratados continuamente na operação diária, muitas vezes estão ausentes.

Portanto, o que esses casos revelam não é apenas um incidente de segurança isolado, mas uma falha sistêmica na identificação de riscos, controle interno e mecanismos de resposta das empresas.

Do ponto de vista do desenho institucional, uma mudança bastante direta é a antecipação da obrigação de notificação.

Na maioria das jurisdições, a lógica básica de conformidade de dados ainda gira em torno do pós-incidente. Uma vez confirmado o vazamento, a empresa deve comunicar às autoridades reguladoras e aos usuários dentro de um prazo estipulado. Trata-se de um mecanismo típico de resposta posterior.

A alteração na Coreia, por sua vez, rompe deliberadamente essa sequência temporal.

De acordo com o artigo 34 revisado, sob condições específicas, mesmo sem confirmação de vazamento, se houver risco que atinja o padrão legal, a empresa deve iniciar a notificação. Isso significa que a empresa não pode mais adiar a decisão sob o argumento de “ainda não aconteceu”, sendo obrigada a fazer uma avaliação mesmo em estado de incerteza.

Ao mesmo tempo, a notificação deixa de ser apenas uma divulgação de informações. As empresas também precisam esclarecer quais ações legais os usuários podem tomar, incluindo indenizações por danos, compensações legais e métodos de resolução de disputas. Assim, a notificação passa de uma ação de divulgação de informações para uma ação de conformidade com consequências legais.

Porém, se essa mudança for vista apenas como uma antecipação de obrigações, ela ainda permanece na superfície. O mais importante é que essa alteração força as empresas a desenvolverem uma capacidade — de fazer avaliações em estado de incerteza, antes que o risco se concretize totalmente.

Mais do que antecipar obrigações, uma mudança mais relevante está na estrutura de responsabilidades.

A rodada de revisões não estabeleceu diretamente multas pessoais ou responsabilidades criminais para proprietários ou representantes das empresas, mas, por meio de uma série de dispositivos institucionais, já incorporou a responsabilidade pela proteção de dados na estrutura de governança corporativa. Os gestores ou representantes não são mais apenas uma figura abstrata de responsabilidade final, mas precisam, por meio de alocação de recursos, implementação de sistemas, assumir responsabilidades substanciais pela eficácia das medidas de segurança. Além disso, o responsável pela proteção de informações pessoais foi incluído no sistema de decisão e reporte do conselho, devendo sua nomeação, alterações e desempenho serem continuamente monitorados na governança da empresa.

Sob esse arranjo, a conformidade de dados dificilmente pode ser vista como uma função isolada de um único departamento, ou algo que deveria ser realizado por uma única área.

O processamento de dados permeia naturalmente o design de produtos, a arquitetura técnica, os processos operacionais, as decisões comerciais e até as parcerias externas, e seus riscos não se concentram em um ponto único, mas se distribuem de forma encadeada e sistêmica ao longo de toda a operação. Por isso, a conformidade de dados nunca foi uma tarefa exclusiva do jurídico, compliance ou tecnologia; ela deve ser entendida como um esforço holístico, que exige recursos, liderança de profissionais especializados e colaboração entre múltiplas áreas.

No passado, essa compreensão muitas vezes não era clara em muitas empresas, que tratavam a conformidade como uma função isolada, por falta de reconhecimento de sua importância e complexidade. Quando as obrigações de notificação são antecipadas, a avaliação de risco deve ser feita em condições de incerteza, e a alocação de recursos passa a ser um critério de avaliação regulatória, esses problemas inevitavelmente apontam para um nível superior — a gestão.

O limite de 10% de multa certamente é a parte mais impactante dessa rodada de revisões. Mas, se apenas focarmos na maior penalidade, podemos perder de vista seu modo de atuação real.

As regras revisadas vinculam multas elevadas a situações específicas, como reincidência em violações graves, vazamentos causados por dolo ou negligência grave, ou novos incidentes sem a devida correção. Além disso, o sistema também prevê que, se a empresa tiver investido recursos suficientes na proteção de informações pessoais (incluindo pessoal, orçamento e medidas técnicas), a penalidade pode ser atenuada.

Isso, na prática, introduz uma lógica de avaliação mais direcionada: a fiscalização não se limita a verificar o resultado, mas passa a questionar — antes que o resultado aconteça — se a empresa fez avaliações razoáveis e alocou recursos adequados.

E é justamente nesse ponto que a punição se conecta à estrutura de responsabilidades mencionada anteriormente. A multa deixa de ser apenas uma penalidade pelo resultado, passando a atuar como um incentivo para que as decisões sejam fundamentadas e justificadas — ou seja, quem tomou a decisão, com base em que informações, e se essas informações eram suficientes.

Em outras palavras, o foco da punição está mudando do resultado em si para o processo de decisão.

Se olharmos para todas essas mudanças em conjunto, percebemos uma direção de mudança mais profunda.

Essa rodada de revisões não visa apenas elevar o padrão de conformidade, mas alterar a forma como as empresas lidam com os problemas de dados. A proteção de dados deixa de ser uma questão de “cumprimento” de regras para se tornar uma questão de gestão contínua, que exige avaliação constante, alocação de recursos e tomada de decisão.

As empresas não enfrentam mais apenas regras, mas o desafio de decidir, em um cenário de incerteza, como agir e quem deve assumir a responsabilidade por essas decisões. Nesse processo, o risco de dados passa a fazer parte da lógica operacional diária, não mais como uma questão passiva de resposta a incidentes, mas como variável a ser avaliada, ponderada e gerenciada continuamente.

Portanto, “quem é responsável” não é uma questão adicional, mas uma consequência natural da antecipação das decisões — quando a avaliação de risco se torna parte do cotidiano empresarial, essa responsabilidade não pode mais ficar apenas na execução, devendo recair na gestão, que possui recursos e poder de decisão.

Essa mudança tem impacto bastante concreto para empresas que atuam no exterior.

Muitas empresas — especialmente as que atuam internacionalmente — carecem de mecanismos internos bem estruturados, recursos estáveis e suporte especializado. A conformidade de dados costuma estar dispersa entre jurídico, tecnologia, produto e segurança, com cada área agindo de forma isolada, e as respostas a incidentes sendo improvisadas após o fato. Essa situação, que talvez fosse suportável no passado, torna-se cada vez mais insustentável sob a lógica regulatória atual.

Pois o que agora é constantemente questionado não é apenas “a existência de regras” ou “documentos completos”, mas a capacidade da empresa de identificar problemas rapidamente, formar avaliações confiáveis e promover a colaboração entre áreas, transformando essas avaliações em resultados aceitáveis pelos reguladores. Para a maioria das empresas que atuam no exterior, essa não é uma habilidade que se desenvolve espontaneamente, mas exige uma estrutura de experiência mais madura, que sistematicamente revise e reconfigure os processos existentes, transformando responsabilidades dispersas, fronteiras vagas e respostas lentas em um sistema de governança operacional.

Assim, o impacto real dessa rodada de mudanças não está na conformidade pontual, mas na capacidade de preencher essa lacuna — de criar uma estrutura organizacional que suporte a responsabilidade real, de modo que ela seja efetivamente carregada pela organização.

Esse movimento também se reflete na China, onde a responsabilidade do responsável pela proteção de informações pessoais também está sendo fortalecida, com lógica semelhante de centralização de responsabilidades e recursos.

Para as empresas, a questão mais concreta que essa rodada de mudanças levanta é:

Em um cenário de risco de dados ainda não concretizado e regras ainda não totalmente claras, há alguém na organização capaz de fazer avaliações e assumir as consequências dessas avaliações?

Se essa questão não puder ser respondida, então a conformidade por si só já não representa uma fronteira de risco real. O que realmente determina o grau de exposição ao risco é a capacidade de fazer avaliações em condições de incerteza, e se essas avaliações estão sendo feitas na hierarquia adequada.