1
0
Estamos cada vez mais próximos da obrigatoriedade de implementação da Lei Geral de Proteção de Dados e, até o momento, algumas grandes questões afligem os empresários de um modo geral: uma delas é o total desconhecimento da lei e de sua aplicação, assim como o enquadramento dela a sua atividade empresarial e, por outro lado, vemos o surgimento da possibilidade de prorrogação da lei, o que não nos parece factível, por uma série de fatores, dentre os quais a total perda da credibilidade e segurança jurídica que a privacidade de dados pessoais representa em nosso meio.
Sabe-se que a norma não trouxe nenhum tipo de tratamento diferenciado para as PMEs e, talvez por esse motivo cause tanta preocupação, ainda mais quando se passa a olhar para as sanções pelo descumprimento – de 2% do faturamento a 50 milhões de reais? Isso parece ser inacreditável!
Mas calma, pois nenhuma PME deverá ser multada em 50 milhões de reais. Até porque se trata de uma PME, e até porque existe uma gradação de pena, que vai desde uma advertência, até os altos valores pecuniários. Por ser uma pequena empresa, com faturamentos anuais que variam entre R$ 81 mil reais até R$ 4,8 milhões de reais, suas atividades possuem uma regulação um tanto que mais branda e, em alguns casos, não há sequer a necessidade de um DPO (Data Protection Officer) nesse primeiro momento.
No entanto, entendendo que a contratação de um profissional desse porte seja ainda mais dispendiosa, alguém deve ser indicado pela empresa para assumir esse papel em um primeiro momento, nem que esse responsável seja o próprio gestor.
A questão é que a garantia da segurança da informação parece ser algo ainda muito distante, isso se estivermos diante do mundo empresarial. As ameaças digitais parecem ser crescentes e a incidência e probabilidade de vazamento de dados é um risco de ocorrência muito próxima.
Não diminuindo a importância das PMEs, sabe-se que muitas preferem terceirizar os serviços sem saber que elas ainda continuam responsáveis, como controladoras, dos dados os quais elas coletam e retém.
Portanto, antes de uma efetiva implementação, as atividades empresariais de médio e de pequeno porte devem seguir os seguintes passos:
1. Criação de um corpo técnico: desde as menores empresas até as maiores e, mesmo que este corpo técnico tenha 2 ou 3 funcionários, é necessário que haja uma responsabilização pela organização do material relativo a dados. Por isso, escolha criteriosamente quem poderá exercer esse papel com foco e segurança;
2. Estabelecimento de uma política de privacidade que esteja de acordo com o seu perfil empresarial. Essa política deve ser amplamente divulgada e seguida, contando com o apoio da alta administração e implementada através de um bom programa de compliance empresarial, sempre respeitando a boa governança;
Não se esquecendo de dispor de planos de contingência e de gestão de crise que poderão ser acionados no caso de vazamento de dados.
3. Reunião de toda a documentação de sua empresa que esteja relacionada a dados pessoais (dados relativos aos empregados, fornecedores, clientes e demais pessoas cujo relacionamento esteja interligado com o seu negócio). Toda a documentação física e digital deve estar relacionada, organizada e classificada, nem que em um primeiro momento você se utilize de uma planilha excel para a classificação de tudo. Dentre os materiais, devem estar os contratos, mesmo os já finalizados até os que permanecem em vigor;
4. Procure relacionar os dados sensíveis, os dados pessoais e os dados que não mais tenham relação com a sua empresa, contidos em contratos já finalizados e com a finalidade cumprida, por exemplo. Monte um histórico de descarte, sempre com transparência. Tudo deve ser documentado.
Em relação aos dados sensíveis, se forem necessários ao funcionamento do negócio, procure o consentimento dos titulares, e estabeleça uma data limite para a guarda e tratamento deles. Importante que os titulares tenham conhecimento acerca da sua coleta, processamento e descarte, assim como do transporte de seus dados dentro de sua empresa.
Revise todos os seus contratos, enquadrando neles, a política de privacidade, a qual deve ser clara e transparente. Junto aos contratos, relacione e mantenha as documentações de consentimento.
5. Atualize seus programas de proteção digital (e físicos). Se estão atualizados e certificados. É melhor começar a se utilizar de backups e de softwares de apoio, assim como de um potente antivírus e firewall.
6. Se possível, invista em recursos de inteligência artificial e aprendizado de máquina. Além de proporcionar redução de custos para a sua empresa, esse recurso também proporciona uma eficácia maior na segurança, não permitindo a transmissão de ameaçadas digitais, além de oferecer recursos de criptografia, guarda de logs, históricos, dentre outros.
Todos esses cuidados já auxiliam, e muito, sua empresa no cumprimento das diretrizes principais impostas pela Lei Geral de Proteção de Dados Pessoais.
A partir dessa primeira organização, dos treinamentos e da criação de normas que viabilizem o correto transporte e tratamento dos dados dos clientes, fornecedores e parceiros, se tornará mais fácil o controle e as rotinas serão preparadas para as novas diretrizes que serão propostas pela Agência Nacional de Proteção de Dados Pessoais.
Que fique claro que é possível que a ANPD estabeleça regras diferentes para certos setores ou tamanhos de empresas no futuro, mas isso ainda não está definido. Mesmo assim, a prevenção e os primeiros cuidados já devem ser tomados. Hoje uma empresa pode não ser atingida pela LGPD, mas pode ser por diversas outras normas, como o Código de Defesa do Consumidor, por exemplo.
Agir conforme a LGPD é destacar as premissas de: CONSENTIMENTO, TRANSPARÊNCIA, FINALIDADE E COMUNICAÇÃO, além dos princípios que a lei, de maneira clara, dispõe.
Autora: Juliana CostaVice-Presidente da Comissão de D. Digital da OAB/DF, Business Development, LGPD Consultant, Compliance Governance
FONTE: Linkedin