Impacto da LGPD nas pequenas empresas

No post anterior, você, empresário, entendeu o que é a LGPD e seus principais conceitos e agora precisa entender o impacto da LGPD para as empresas.

Caso você ainda não tenha tido a oportunidade de ler nosso primeiro post, volte e, se puder, o leia.

Compreendendo as noções básicas de LGPD podemos avançar para entender os impactos da LGPD nas pequenas empresas.

Para saber mais sobre a LGPD para pequenos negócios, continue lendo este conteúdo para saber tudo sobre:

  1. As pequenas empresas precisam se adequar à LGPD?
  2. Entenda quem é quem na LGPD
  3. Como a LGPD afeta as pequenas empresas
  4. O que seria uma política de segurança da informação?
  5. Como implementar a LGPD?
  6. Como comprovar a implementação da LGPD?
  7. Conclusão

Vamos lá?

1. As pequenas empresas precisam se adequar à LGPD?

Qual impacto da LGPD para as empresas

Adequação à LGPD

A ideia da legislação é inserir uma nova cultura.

Uma nova cultura exige, portanto, a participação de todos: cidadãos, pequenas e grandes empresas.

Então, pouco importa se você é um profissional liberal com um pequeno consultório, se você é uma média empresa com poucos empregados, ou se você é uma grande empresa.

A LGPD afetará empresas de todos os portes.

Então, sim, as pequenas empresas também precisam se adequar ou podem enfrentar as multas e sanções previstas na lei.

Dessa maneira, a LGPD determinou em seu art. 55-J, XVIII a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte.

2. Entenda quem é quem na LGPD

Qual impacto da LGPD para as empresas

Para a compreensão de como a LGPD pode afetar as pequenas e médias empresas, é importante entender como a sua empresa se encaixa, de acordo com as figuras destacadas na LGPD.

Por sua vez, a Autoridade Nacional de Proteção de dados, também conhecida como ANPS é a responsável pela fiscalização do tratamento de dados e aplicação de multas (se for o caso).

A ANPS é quem analisará as medidas que sua empresa tomou para se adequar à LGPD (boas práticas) e se, de fato, essas medidas estão de acordo com o exigido na lei.

Para que a ANPS consiga se comunicar com as empresas e, por exemplo, realizar solicitações criou-se a figura do DPO (data protection office) que também é conhecido como o encarregado de dados da empresa.

Nada impede que a empresa constitua um comitê específico para acompanhar internamente a implementação da LGPD, mas, um nome específico deverá assumir as funções de DPO.

O DPO não precisa ser necessariamente um dos empregados da empresa.

A função de DPO está em alta e muitas empresas contratam prestadores de serviços apenas para assumirem as funções de DPO.

O DPO atua como canal de comunicação com a ANPD, além de orientar a organização sobre as práticas previstas na legislação (LGPD).

A lei apenas diz que a existência de um DPO nas empresas é obrigatória.

Sabemos que a realidade das pequenas empresas, por vezes, não comporta um gasto com a contratação de um DPO.

Muitas vezes, o valor para a contratação de um DPO supera o faturamento da empresa.

Por ora, a ANPD não se manifestou expressamente sobre as peculiaridades das pequenas e médias empresas, mas, o manual disponibilizado pela ANPD não sugere a contratação de um DPO para pequenas empresas.

É provável que essa manifestação expressa aconteça, mas, no momento, pela lei, a existência de um DPO é obrigatória, independentemente do porte das empresas.

Ou seja, da letra da lei deduzimos que, sim, a existência de um DPO nas pequenas empresas é obrigatória.

Certo, na relação entre ANPD e empresas temos a figura da própria ANPD e a figura do DPO.

Na relação entre pessoa física e pessoa jurídica, temos uma tríade: o titular de dados, o encarregado e o controlador.

O titular de dados é qualquer pessoa natural, por exemplo, um possível cliente pessoa física, possível empregado ou prestador de serviços.

O titular de dados pode se relacionar diretamente com sua empresa ou não.

Se a sua empresa receber os dados do titular, por exemplo, um cliente do seu e-commerce, sua empresa é a responsável pelo tratamento desses dados e a responsável por definir como será realizado o tratamento de dados.

Nesse caso, a sua empresa é identificada, pela LGPD, como a controladora de dados.

Por outro lado, se sua empresa mantém relação com outras pessoas jurídicas que coletam dados de pessoa física, sua empresa não pode ser a controladora, pois, não é sua empresa quem define o tratamento de dados.

Nesse caso, a empresa parceira é quem define as diretrizes dos tratamentos de dados e é a controladora.

Sua empresa, no entanto, nessa situação específica, é apenas a operadora dos dados, pois, executa o tratamento de dados a mando da controladora (empresa parceira).

E, apenas por ser a operadora, não significa que sua empresa está isenta de seguir as diretrizes da LGPD.

Percebe que se trata de uma tríade fluída, ou seja, em muitos momentos sua empresa pode assumir uma posição de controladora, assim como a posição de operadora.

Quando a empresa é a controladora, é importante que estabeleça diretrizes para que os parceiros comerciais tratem os dados de acordo com as diretrizes da LGPD.

3. Como a LGPD afeta as pequenas empresas

Qual impacto da LGPD para as empresas

A LGPD é uma lei que força adequações.

Assim, a maneira que sua empresa coleta, armazena e descarta os dados deverá ser adequada aos termos da legislação.

Sua empresa deverá adotar boas práticas sobre segurança da informação relacionada a dados pessoais.

Além disso, um dos princípios da LGPD é o da transparência.

Dessa maneira, a sua relação com seu cliente, empregado ou com o seu parceiro – que coleta dados pessoais – deverá ser regida pela transparência e por uma comunicação clara e eficiente.

Com a ajuda de um profissional especializado sua empresa deve criar ou reanalisar uma política de transparência e de segurança da informação.

4. O que seria uma política de segurança da informação?

Qual impacto da LGPD para as empresas

Uma política de segurança da informação (PSI) é um conjunto de ações que buscam planejar, implementar e controlar ações relacionadas à segurança da informação.

Uma política de segurança da informação envolve também uma “política de transparência”.

O termo exato “política de transparência” sequer existe na lei.

Mas, ele facilita nossa compreensão sobre a transparência que deve ser oferecida para quem entrega seus dados pessoais para qualquer empresa.

Como?

Vamos pensar em uma moeda de troca.

Por exemplo, você quer ou precisa coletar dados de um possível cliente, seja para realizar a própria prestação de serviços, seja para vender algum produto.

A outra parte, por sua vez, deve ser cientificada do destino de seus dados e, inclusive, deve ter a possibilidade de pedir a exclusão de seus dados (e isso não necessariamente significa que você deverá imediatamente excluir os dados da pessoa).

Quem oferta seus dados pessoais precisa, em contrapartida, ter uma garantia de que seus dados estarão seguros.

A empresa deve oferecer alguma forma de o titular entrar em contato e saber como foi realizado o tratamento de seus dados.

Deve ser garantido ao titular de dados (por exemplo, o cliente) o acesso aos dados coletados de uma forma simples e gratuita.

Por esse motivo, uma política de segurança da informação envolve muitas ações e revisão periódica.

5. Como implementar a LGPD?

Qual impacto da LGPD para as empresas

Como implementar a LGPD

O objetivo final sempre deve ser demonstrar a boa-fé e diligência na segurança dos dados pessoais sob sua custódia.

Destaco alguns exemplos de possíveis ações que caracterizam a implementação efetiva da LGPD (e é claro que existem outras medidas):

  • Elaboração ou revisão de um código de conduta, que apresente aos seus empregados e colaboradores um manual de boas práticas, para prevenção de danos e garantia de segurança no tratamento de dados.

Questione-se: os seus funcionários têm claro aonde você quer chegar com sua empresa? O que vocês esperam deles?

  • Conscientização e treinamento dos empregados e parceiros: é importante conscientizar os seus funcionários por meio de treinamentos e campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais, por exemplo, como utilizar controles de segurança dos sistemas de TI relacionados ao dia a dia; ensinar aos empregados sobre como evitar de se tornarem vítimas de incidentes de segurança, tais como de phishing ou contaminação por vírus, ensinar aos empregados que contaminações podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail; entre outras medidas.

É necessário a busca de meios técnicos de segurança dos dados pessoais e, sobretudo, a busca de meios de eliminar acessos indesejados.

  • Estabelecer hierarquização de acessos: implementar uma medida técnica para garantir que os dados coletados pela empresa sejam acessados somente por pessoas autorizadas, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais.

A ANPD estabelece que deve ser aplicado o “princípio do menos privilégio (need to know)”, ou seja, os usuários de um sistema terão o menor nível de acesso necessário para a realização de suas atividades.

  • Gestão adequada de contratos: nesses quesitos é preciso pensar não somente nos contratos firmados com cliente e parceiros, mas, também nos contratos firmados com os empregados.

Por exemplo, estabelecer termos de confidencialidade (non-disclosure agreement – NDA), para que os empregados se comprometam a não divulgar informações confidenciais que envolvam dados pessoais.

No caso de pequenas empresas que terceirizam os serviços de TI, recomenda-se que estabeleçam com os fornecedores contratos que incluam dentre outras, cláusulas de segurança da informação que assegurem uma efetiva proteção de dados pessoais.

  • A elaboração de uma política de privacidade adequada à realidade de sua empresa e que, de fato, garanta a proteção dos dados de quem se relaciona com sua empresa.
  • A realização de uma política de cookies, caso sua empresa colete a preferência de seus clientes, pelo site.
  • Identificar os tipos de dados coletados e se acontece a coleta de dados pessoais sensíveis.
  • Identificar a finalidade da coleta de qualquer dado, assim como analisar se a coleta é estritamente necessária;

Apenas deve ser feita a coleta de dados necessários para atingir a finalidade proposta (conforme artigo 6º, III, da LGPD).

Por exemplo, se a finalidade da coleta é entregar comida, precisamos apenas do nome e endereço do cliente (necessidade), no momento em que ela pede a comida (adequação).

Outro exemplo, é analisar quais dados são realmente necessários para a realização de uma entrevista de emprego.

  • Identificar se os dados estão sendo coletados em momento adequado, por exemplo, não faz sentido coletar o número da Carteira de trabalho do empregado na entrevista, o momento adequado seria a contratação.
  • Instaurar medidas de segurança, como por exemplo, realizar cópias de segurança; estabelecer o uso de senhas; realizar atualização de softwares; uso de correio eletrônico; uso de antivírus ou anti-malwares, que detectam, impedem e atuam na remoção de programas maliciosos, como vírus, entre outros.

6. Como comprovar a implementação da LGPD?

Qual impacto da LGPD para as empresas

A lei determina que as empresas devam manter um registro das operações de tratamento de dados, sendo que esse documento pode ser determinante no processo de defesa das empresas.

Além disso, a lei traz dez hipóteses de tratamento de dados, conhecidas como as dez hipóteses legais para que os dados pessoais sejam tratados de forma adequada.

A empresa, por sua vez, deverá demonstrar que a coleta de dados realizada se adequa às hipóteses previstas em lei.

Ainda, a empresa deve se preocupar com uma eventual prestação de contas, registrando seu fluxo de tratamento de dados, pois, em algum momento, pode ser necessário que a empresa informe seus mecanismos e fluxos para a ANPD.

Por fim, é uma tendência que as empresas que já se adequaram à LGPD passem a contratar/ negociar/ se relacionar apenas com empresas que também já iniciaram seu processo de adequação.

Pense bem, as grandes empresas estão se adequando e você acha que elas firmarão contratos com pequenas ou médias empresas, que ainda não começaram seu processo de adequação?

Com certeza não.

7. Conclusão

Se por algum momento passou em sua cabeça que o tamanho de sua empresa vai te isentar de seguir as novas regras previstas na LGPD, releia esse texto novamente, pois, as pequenas e médias empresas também serão afetadas.

Se você não entendeu muito bem as regras, leia nosso primeiro post sobre a LGPD.

A nossa ideia é contribuir com a inserção de uma nova cultura no meio empresarial, e fazer com que os empresários, de pequenas e médias empresas, compreendam a importância da adequação de empresas à LGPD.

Você pode ser um médico, um advogado, um psicólogo, um vendedor, não importa, se aconteceu a coleta de dados pessoais, você deve se preocupar.

Se você se preocupou em implementar a LGPD em sua empresa, busque por um advogado especialista.

Conhece alguém que também precisa saber dessas dicas?

Compartilhe o conteúdo no whatssApp e/ou em suas redes sociais.

Além disso, você também pode nos acompanhar em nosso instagram @jadeadvocacia.

Para ficar por dentro de todos os nossos posts, se inscreva em nossa Newsletter e receba conteúdos exclusivos direto no seu e-mail.

Até o próximo post!

Picture of Jade Almeida

Jade Almeida

OAB/SP 348.167. Advogada especialista em direito do trabalho e profissionais da saúde. Pós-graduada pela Faculdade de Direito de São Paulo (USP). Apaixonada por ler bons livros e escrever sobre a vida nas horas vagas.
Sobre
Compartilhe
Facebook
Twitter
Telegram
WhatsApp
Você também pode gostar desses artigos
0 0 votes
Classificação
Inscreva-se
Notificar de
guest
0 Comentários
Comentários em linha
Ver todos os comentários
Compartilhe
Facebook
Twitter
Telegram
WhatsApp
Posts mais recentes