A LGPD – Lei Geral de Proteção de Dados entrou em vigor de forma escalonada, com a maioria dos artigos se tornando efetivos no dia 18 de setembro de 2020, e agora em agosto de 2021 entraram em vigor os itens relativos a sanções administrativas e multas. O fato é que a LGPD já se encontra completamente efetiva, com diversas solicitações de titulares e até mesmo decisões em primeira instância que já foram tomadas com base na lei. A dura realidade é que organizações não tem mais como se abster de proteger dados pessoais, e se existe um segmento que deve encontrar mais dificuldade para garantir a conformidade com todos os deveres da lei é o de pequenas e médias empresas (PMEs).
As PMEs contribuem dinamicamente com a economia, e dependendo de sua área de atuação, podem ter uma interação muito próxima dos dados e informações privadas de clientes, porém normalmente tem infraestruturas tecnológicas mais simples e algumas vezes vulneráveis. Por isso, muitas PME são alvos interessantes para golpistas, cibercriminosos, criminosos da internet, tentativas de fraudes, e claro, tentativas de sequestros ou roubos de dados de clientes, chegando até mesmo a extorsões.
A base dos conceitos da Segurança da Informação (SI) é o alicerce para a proteção da privacidade. Portanto gerir adequadamente a cibersegurança é o caminho mais favorável para o atendimento aos requisitos de leis que focam em privacidade e proteção de dados pessoais. Vale ressaltar que as multas, em caso de descumprimento da LGPD, poderão ser de até 2% do faturamento da empresa e limitada, no total, a 50 milhões de reais por infração. No caso das pequenas e médias empresas, as multas poderão atingir o teto de R$4,8 milhões.
Leia também: LGPD: as sanções entraram em vigor, e agora?
Diante de tantas informações sobre a LGDP, existe uma certa urgência para qualquer empresa iniciar o processo de adequação. Confira seis passos essenciais a serem seguidos pelas PMEs:
Passo 1 – Entendendo o Negócio e os Dados Pessoais
Um primeiro passo essencial na jornada rumo a adequação à LGPD é conhecer os dados pessoais que sua empresa trata, afinal não é possível proteger aquilo que sequer sabemos que existe. Dentre as várias opções, realizar o mapeamento dos dados pessoais é a que se mostra inicialmente mais adequada, já que permite ter uma visão completa de como as múltiplas áreas/processos da organização lidam com dados pessoais no dia a dia. Esse processo vai apoiar o entendimento de pontos críticos que incluem desde possíveis fragilidades de segurança, até pontos que podem inviabilizar o atendimento aos direitos dos titulares.
Passo 2 – Compreenda o nível atual de adequação
Um outro passo muito importante é entender o nível de conformidade da sua organização com os requisitos da LGPD. Uma forma rápida de entender a situação da sua empresa, é realizar uma avaliação, costumeiramente chamada de análise de gaps ou assessment. Idealmente o resultado dessa avaliação vai permitir identificar as principais deficiências e servir como base para traçar um plano de adequação.
Passo 3 – Cuide do planejamento de Curto, Médio e Longo prazo
Com a LGPD em vigor desde setembro de 2020, e os artigos sobre multas e sanções ativos desde agosto de 2021, se sua empresa ainda está em uma fase inicial de adequação, a dura verdade é que uma violação de dados pessoais é mais que provável.
Aceitar esse fato e entender que nem todos os pontos necessários à conformidade podem ser resolvidos do dia para a noite é algo natural, mas não há motivos para pânico. Existem algumas ações razoavelmente simples que podem oferecer um ganho significativo, como criar um canal básico para receber solicitações dos titulares, ou mesmo criar uma política de privacidade e proteção de dados pessoais. Essas vitórias rápidas (quickwins) não só ajudam na dinâmica da jornada rumo à adequação, como servem de base para controles mais complexos, que podem levar semanas ou mesmo meses para serem concluídos.
Passo 4 – Quem é o seu encarregado?
Não há dúvidas de que ter uma pessoa responsável por apoiar práticas de proteção de dados é algo fundamental para toda organização. O que muitas PMEs, startups e empresas que estão iniciando se questionam, é a real necessidade de ter um encarregado pelo tratamento de dados pessoais. Infelizmente, em sua redação atual, a LGPD não permite uma flexibilização desse ponto: toda empresa que realiza tratamento de dados pessoais conforme descrito na LGPD precisa apontar um encarregado/DPO. Mas será que isso é algo tão danoso para sua operação? O papel do DPO é apoiar a organização, servindo tanto como canal de comunicação com a ANPD e titulares, quanto evitando a ocorrência de violações de dados pessoais, algo que pode ter um impacto tão severo ao ponto de inviabilizar todo um negócio.
É importante lembrarmos que, garantidos certos quesitos como liberdade de atuação e independência, o encarregado não precisa ser obrigatoriamente um cargo exclusivo, na verdade muitas empresas combinam essa responsabilidade com posições já existentes em áreas como controladoria, marketing, Segurança da Informação ou TI. Outra alternativa é buscar empresas especializadas que fornecem o chamado “DPO as a service”, ou seja, o encarregado passa a ser um serviço contratado. Claro, existe a possibilidade de a ANPD flexibilizar a necessidade de um encarregado para PMEs e startups, mas isso não é garantido e de toda forma, os benefícios de ter um profissional atento a questões tão importantes normalmente ultrapassam, e muito, os custos associados.
Passo 5 – Prepare as pessoas na sua organização
No meio de tantas empresas prometendo produtos e tecnologias que agilizam o processo de adequação, o fator humano na proteção de dados pessoais parece ter um papel de coadjuvante, algo que não poderia ser mais equivocado. Talvez você até se surpreenda, mas em sua jornada rumo à adequação a LGPD, é bastante natural que a organização passe por um grande amadurecimento, e uma profunda mudança na cultura corporativa.
É natural realizar ajustes em tecnologias e processos, mas não podemos esquecer que o pilar central de qualquer organização, independente do seu porte, são as pessoas que a constituem. Investir em conscientização sobre proteção de dados pessoais é provavelmente um dos pontos mais importantes em qualquer projeto de adequação.
Claro, não há necessidade de que todos da empresa se tornem especialistas em LGPD, mas é extremamente importante que colaboradores em todos os níveis compreendam as regras adotadas pela organização, além de pontos chave como os direitos dos titulares ou situações que podem ser caracterizadas como incidentes e violações de dados pessoais.
Veja também: Compliance vira vantagem licitatória para empresas de médio porte
*Cláudio Dodt é sócio da Daryus Consultoria e especialista em Cibersegurança e Proteção de Dados.
Add new comment