Pequenas Empresas, Grandes Impactos: como garantir conformidade com a LGPD? Se você é um micro ou pequeno empresário, pode estar se perguntando como a Lei Geral de Proteção de Dados (LGPD) afeta sua empresa.
A resposta é simples: sim. Pequenas empresas também estão sujeitas à lei.
A LGPD é uma lei abrangente de privacidade de dados que regula como os dados pessoais são coletados, usados e protegidos. E já está em vigor há mais de dois anos…
Todavia, por falta de maior divulgação e apesar de tanto tempo a realidade ainda assim mostra-se distante do ideal em termos de adesão à lei.
As micro e pequenas empresas (MPEs) são a espinha dorsal da nossa economia.
E em virtude de sua relevância, são as que têm maior probabilidade de serem afetadas pela lei, uma vez que muitas delas são fornecedoras para empresas maiores. Grandes impactos à vista.
Essas por sua vez, desde que a LGPD entrou em vigor, vem em sua maioria se preparando para adequarem-se a ela.
Embora possa parecer assustador, estar em conformidade com a LGPD é (e será ainda mais no futuro) essencial para proteger os dados de seus clientes e seu próprio negócio.
Portanto as MPEs precisam fazer o dever de casa.
Tudo tem um início
Para afastar esse temor, um primeiro passo rumo à conformidade é identificar e avaliar os riscos associados aos dados pessoais que sua empresa coleta e processa.
Depois de ter uma compreensão clara desses riscos, você deve implementar medidas jurídicas, técnicas e organizacionais apropriadas para mitigá-los.
Por exemplo:
- Criar ou atualizar sua política de privacidade;
- Implementar criptografia de dados;
- Elaborar Relatórios de Impacto à Proteção de Dados (RIPD ou em inglês, DPIA)
- Treinar regularmente os funcionários sobre as práticas recomendadas de proteção de dados etc.
Essas, bem como várias outras ações a serem tomadas devem sempre orientadas pelo conceito de privacy by design, ou seja, privacidade como vetor de todos os processos organizacionais.
Flexibilizações a serem observadas com cautela
Sob o mesmo ponto de vista além de todas essas medidas de compliance, é importante nomear um Encarregado de Proteção de Dados.
Também chamado em inglês de Data Protection Officer – DPO, ou seja, uma pessoa responsável por monitorar a conformidade e garantir que sua empresa atenda a todos os requisitos da LGPD.
Apesar de não ser mandatório em algumas situações a designação de um DPO conforme a Resolução Nº 2 da Autoridade Nacional de Proteção de Dados (ANPD) é indispensável ter alguém de seu pessoal liderando a privacidade e proteção de dados pessoais na empresa.
A Resolução que flexibiliza as exigências que afetam diretamente as MPEs está disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
Isso vale também em relação a manutenção de registros precisos de todas as suas atividades de processamento de dados pessoais.
Igualmente previsto na flexibilização, contudo isso consiste numa boa prática de governança.
E sem dúvidas é algo que ajudará você a demonstrar conformidade, se necessário, bem como a mapear melhor todos os riscos a serem mitigados. Leia mais sobre governança e riscos aqui: https://privacyacademy.com.br/protecao-de-dados-de-privacidade/ e https://privacyacademy.com.br/lgpd-exin-pdpp-certification-fragmentacao-da-analise/
Atenção redobrada com terceiros para pequenas empresas
Um outro aspecto importante da conformidade com a LGPD para micro e pequenas empresas é garantir que quaisquer provedores de serviços terceirizados, como provedores de armazenamento em nuvem, processadores de pagamento e agências de marketing, também estejam em conformidade com a lei. Isso ocorre porque esses provedores de serviços terceirizados também podem ter acesso e processar dados pessoais em nome de sua empresa.
Portanto, é importante que os contratos e acordos das pequenas empresas com provedores de serviços terceirizados definam mutuamente responsabilidades e obrigações perante a LGPD.
Isso deve incluir disposições para segurança de dados, violações de dados e auditorias regulares de conformidade dentre outras provisões.
Da mesma forma é importante ter um plano em vigor para resolver quaisquer problemas de não conformidade que possam surgir.
Monitorar e revisar regularmente seu próprio ambiente bem como os de provedores de serviços terceirizados é essencial às pequenas empresas de modo a garantir que estão em conformidade com a LGPD.
Isso garante que todos fiquem assim cientes de quaisquer atualizações ou alterações necessárias.
Decerto ajudará sua empresa a mitigar os riscos internos e os associados aos provedores de serviços terceirizados, garantindo que todos estejam atendendo aos requisitos da LGPD.
Cada caso é um caso em termos de conformidade
Convém lembrar que a Lei Geral de Proteção de Dados se aplica a todas as empresas, independentemente do setor ou tamanho. No entanto, os requisitos e implicações específicas da LGPD podem variar dependendo do setor em que a micro ou pequena empresa opera.
Só para exemplificar, uma pequena empresa no setor de saúde como uma clínica, que lida com dados pessoais sensíveis como registros médicos, precisará ter requisitos de proteção de dados mais rigorosos em relação à LGPD do que uma pequena empresa de varejo que coleta normalmente apenas dados pessoais comuns, como nome, CPF, etc.
Por outro lado, pequenas empresas do setor financeiro, fintechs por exemplo, precisam estar em conformidade não apenas com a LGPD, mas também com os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) e Instruções Normativas do Banco Central.
Por conseguinte as pequenas empresas precisam entender como a LGPD se aplica ao seu setor específico.
Então consulte especialistas do setor ou consultores técnicos e jurídicos para garantir a conformidade.
Mais ganho do que fardo
É compreensível que muitos proprietários de pequenas empresas possam se sentir sobrecarregados pela complexidade da LGPD e o impacto potencial em suas operações.
Porém a LGPD não é algo que deve ser temido, é algo que deve ser abraçado.
A conformidade com a LGPD não apenas protegerá o direito à privacidade de seus clientes e funcionários.
Ela evitará a perda de seus contratos essenciais enquanto fornecedores para grandes empresas o que afetaria diretamente a saúde de seu negócio e sua competitividade.
Sem esquecer também que ajudará você a evitar multas dispendiosas e principalmente: criar confiança e credibilidade para com seus clientes.
Pequenas empresas, uni-vos: a hora é agora!
Em suma, a LGPD já é uma realidade embora possa parecer que não, num país onde leis “pegam ou não pegam”. Como sempre digo, o que “pega ou não pega” é gripe. Leis se cumprem.
E estar desde já preparado para ela significa a ter a segurança de manter-se no mercado e bem como prosperar em nossa atual economia massivamente baseada em dados pessoais.
- Marcilio Braz é advogado, gerente de projetos em TI, professor e fundador da Privacy Academy
Artigo publicado em: