Um roteiro para pequenas e médias empresas cumprirem a LGPD

Views: 435
0 0
Read Time:6 Minute, 5 Second

Providências simples como triturar papéis que contenham dados podem evitar grandes problemas com os titulares e a judicialização dos problemas

Paulo Brito

No dia 17 deste mês, uma quinta-feira, entra em vigor a nossa Lei Geral de Proteção de Dados, trazendo responsabilidades para todo mundo. Um resumo bem simplificado dela seria o seguinte: se você pede, pediu ou pedirá dados que identifiquem alguém, trate de guardar a sete chaves. Do contrário as consequências serão no mínimo desconfortáveis. Ou caras. Ou as duas coisas.

Engana-se quem acha que só as grandes corporações estão obrigadas a fazer isso nos seus sistemas de processamento de dados e de informações. Nada disso. A lei vale para todas as pessoas, sejam físicas ou jurídicas. E protege os dados das pessoas não importa em que meio estejam – seja digital ou não. 

De alguma forma, todas as pessoas e empresas sempre guardam dados de alguém. Nós, pessoas físicas, costumamos guardar bem os dados de cônjuges, filhos e parentes próximos. As grandes empresas contratam consultorias e outros prestadores de serviço para resolver esse problema e ficarem em conformidade com a lei. 

Mas e as pequenas, médias e micro empresas? O que elas têm de fazer?

A resposta não é curta. Para elaborá-la convidamos Marcelo Chiavassa, professor de Direito Digital da Universidade Presbiteriana Mackenzie.  

CISO Advisor – Professor, como raramente têm especialistas contratados, de que modo as PMEs podem alcançar conformidade com a LGPD?

Marcelo Chiavassa – Acho que sempre será necessário algum auxilio externo, tanto jurídico quanto de cibersegurança. Acredito que muitas tomem alguma atitude imediatamente, já que não se pode dizer que foram surpreendidas. 

CISO Advisor – Pequenos empresários como os donos de papelarias, padarias, mercados, também precisam se preocupar?

Marcelo Chiavassa – Com certeza sim. Eles precisam tomar cuidados, por exemplo, até com o descarte de papéis. Muita gente usa papel impresso internamente como rascunho, mas esses impressos agora não podem conter dados pessoais. Outro cuidado necessário é estabelecer um canal para que os titulares dos dados possam utilizar seus direitos. Se a empresa tiver um site, deve exibir esse canal no site – seja o canal um formulário, um telefone, um endereço de e-mail. 

CISO Advisor – Marcelo, qual seria o primeiro passo de uma empresa para iniciar seu percurso em direção à conformidade?

Marcelo Chiavassa – O primeiro passo é entender o que são os dados pessoais – é entender que dado pessoal é toda e qualquer informação capaz de individualizar alguém, de identificar alguém. Os mais triviais são aqueles que a gente já conhece, como o CPF e o RG. Todo mundo sabe que isso identifica uma pessoa. Mas existem alguns dados que não são óbvios assim, e precisam ser protegidos. Muitas vezes, dados biométricos como altura, peso e impressão digital identificam. Como também nos identificam aqueles relativos a opinião religiosa, política, gênero, sexualidade, saúde. Quando um dado sobre roupa que a pessoa gosta, carro que tem, nome do seu animal de estimação permite identificá-la, então isso também é dado pessoal.

CISO Advisor – O que você diz, então, é que a lei não se aplica somente aos dados guardados em meio digital. Ela protege também dados que estejam numa ficha de papel, num prontuário, num a agenda, numa caderneta? Como as empresas devem tratar disso?

Marcelo Chiavassa – Acontece que toda empresa trata de dados pessoais. Se ela tem funcionarios, já tem dados pessoais. O que elas precisam fazer é nomear uma pessoa que será encarregada do tratamento de dados pessoais (o DPO ou data protection officer, o encarregado da proteção dos dados). Pode ser que no futuro a recém criada Autoridade Nacional de Proteção de Dados (ANPD) até dispense as pequenas e médias empresas da responsabilidade de ter esse funcionário. Até lá, a empresa deve se conscientizar de que tudo o que a lei determina está em vigor, está valendo. Ela pode iinclusive contratar empresas que oferecem o “DPO as a Service”. NO caso de um incidente qualquer, esse DPO terá, entre outras funções, avisar os titulares dos dados sobre o acontecimento e interagir com as autoridades nacionais de proteção de dados. 

CISO Advisor – Como isso está acontecendo nos países que antes do Brasil já adotaram leis de proteção aos dados de seus cidadãos?

Marcelo Chiavassa – Na Europa, a legislação já dispensa algumas exigências. A nossa expectativa é de que com o início das atividades da ANPD isso também aconteça aqui. Na Europa, o DPO só é exigido das empresas que tratam grandes volumes de dados. Ou quando esses dados têm potencial de risco para seus titulares. Assim, não necessariamente as PMEs precisam de um DPO. Até porque a LGPD diz que a ANPD poderá dispensá-las disso. 

Ciso Advisor – Existem outras providências que as PMEs possam tomar para se proteger de sanções e estar o mais próximo possível da conformidade? 

Marcelo Chiavassa – Existem sim. Uma delas seria designar um DPO. Outra é criar um canal de comunicação, divulgado em em local público, indicando de que modo alguém pode se comunicar com a empresa para tratar desse assunto e incluir aí o nome do DPO. E de novo é bom prestar muita atenção ao descarte de papel. Se ele contém dados é preciso triturar. Fazer isso não significa que ela estará atendendo tudo o que está estabelecido na lei, mas já começou a se mexer. 

CISO Advisor –Que tipos de problemas relacionados à LGPD você acha que as PMEs enfrentarão?

Marcelo Chiavassa – Eu acredito que os problemas virão dos consumidores que quiserem exercer um daqueles dez direitos previstos na lei. Se a empresa não tiver um canal para atendê-los, será bem frequente que eles procurem o Procon e isso levará a empresa a uma situação que vai se deteriorar rapidamente, podendo evoluir para judicialização. Basta, por exemplo, que uma pessoa peça e não consiga seus dados para levar a empresa ao procon ou à Justica. 

CISO Advisor – E isso é facil de resolver?

Marcelo Chiavassa – Esse controle judicial e administrativo será necessário, e eu acredito que na maior parte dos casos ele será aplicado em pontos razoavelmente fáceis de resolver. Para isso, a empresa não poderá mais compartilhar dados aleatoriamente. Precisará de cuidados minimos, para evitar que um consumidor a leve ao judiciario. Esses são os grandes riscos no primeiro momento de vigência da lei.

CISO Advisor – Mas se ela cometer algum erro e houver vazamento de dados de clientes, que consequências pode haver?Marcelo Chiavassa – Bem, mesmo na Europa nem todas as pequenas e médias empresas estão em conformidade. De acordo com os dados de uma pesquisa que estou fazendo, nos últimos dois anos o conjunto de 26 países aplicou 377 multas, o que mal ultrapassa sete multas por ano. Aparentemente a autoridade irá tratar mesmo é dos grandes casos – os problemas piores não acontecerão com as padarias, bancas de jornal, papelarias. Não faz sentido uma pequena ou média empresa temer a multa máxima, que é de R$ 50 milhões. Ela tem de temer é a judicializão do problema e a ação dos órgaos de proteção ao consumidor. Neste momento, antes da vigência da lei, já existem titulares solicitando informações de empresas. E isso vai crescer exponencialmente depois de 17 de setembro.

FONTE: CISO ADVISOR

POSTS RELACIONADOS