Aprovada em 2018, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em agosto de 2020. No entanto, é somente agora, um ano depois, que as sanções e multas previstas pela lei realmente poderão ser aplicadas: a partir de 1° de agosto, qualquer empresa que descumprir com a LGPD estará sujeita a ser penalizada.
A grande questão é que, mesmo três anos após sua aprovação, apenas 4% das pequenas e médias empresas estão preparadas para a nova lei. Isso significa que 96% das PMEs brasileiras poderão receber multas de até 2% do seu faturamento anual a partir de agosto.
Considerando o valor alto da multa, uma dúvida que paira no mercado é: por que tão poucas empresas estão preparadas? A verdade é que diversos fatores contribuem para isso. Para começar, a adequação à LGPD exige um tempo e esforço que a maioria das pequenas e médias empresas não dispôs até agora, especialmente com a pandemia do coronavírus.
No entanto, este é um tópico que se torna extremamente urgente. Então, o que sua pequena empresa pode fazer para evitar ser penalizada?
Um bom início é começar lendo este artigo! Preparamos um material especial com algumas perguntas e respostas para que os pequenos negócios saibam por onde começar na jornada de conformidade com a Lei Geral de Proteção dos Dados! Acompanhe!
A LGPD se aplica a pequenos negócios?
Para começar, sim! A LGPD se aplica a todos os negócios que tratam dados pessoais em território brasileiro, independentemente do porte da empresa ou do volume de dados que é tratado. Isso significa que todo pequeno negócio brasileiro estará sujeito aos requisitos, multas e demais penalidades da lei.
Portanto, a primeira pergunta que você precisa fazer a si mesmo é: com que frequência sua empresa lida com dados pessoais? Isso inclui os dados do cliente, é claro, mas você considerou os dados do fornecedor? Funcionários anteriores e atuais? E há mais alguma coisa que você coletou que se enquadra?
Para facilitar, a LGPD define dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”. Em outras palavras, são todos aqueles dados que permitem definir a identidade de uma pessoa.
Se você está coletando algum desses dados rotineiramente, precisa estar em conformidade com a LGPD, quer os dados estejam em uma planilha, na sua rede de computadores, no seu telefone celular ou na nuvem.
Por que devo me importar com a LGPD?
Outro fator que impede pequenos negócios de se adequar com a lei é a complexidade dos regulamentos. É fácil para pequenas empresas com uma pilha de tarefas ver a LGPD como um fardo. Mas, na realidade, é algo que pode ser usado a seu favor, agregando valor ao seu negócio.
Sim, a LGPD não é só uma obrigação legal, mas pode ser uma oportunidade. Ao provar aos clientes potenciais e existentes que sua organização está em conformidade com as novas leis que protegem os direitos deles, você pode atrair mais negócios.
Ninguém gosta de ter seus dados perdidos, roubados, danificados, mal utilizados ou compartilhados sem o consentimento adequado, e fazer tudo o que puder para proteger seus clientes e aumentar sua confiança pode ser um ponto de venda exclusivo.
Portanto, de multas a outras penalidades, certamente existem motivos sérios para se tornar compatível com a LGPD. Mas também vale a pena investir na conformidade para ganhar a confiança de seus clientes e ser a empresa que respeita os dados pessoais, em vez de deixá-los ficar em uma planilha há muito esquecida.
Como será o processo de fiscalização?
A LGPD também previu a criação de uma entidade nacional que fiscalizasse o cumprimento de suas obrigações. Essa entidade é a ANPD, Agência Nacional de Proteção dos Dados.
A ANPD foi criada juntamente com a entrada em vigor da lei, em 2020. No entanto, o órgão ainda não deixou claro como as sanções definidas em lei serão impostas às empresas. A expectativa é de que um texto oficial sobre o assunto seja publicado no início de agosto.
Enquanto isso não acontece, contudo, já é possível prever algumas coisas: em primeiro lugar, a ANPD será utilizada como segunda via nos casos de disputas e reclamações entre clientes e empresas. Espera-se que, em primeiro lugar, essas disputas sejam resolvidas entre as duas partes, sem intervenção da ANPD. Caso isso não seja possível, o consumidor poderá acionar o órgão.
Em segundo lugar, espera-se que a ANPD tenha também uma abordagem educativa, especialmente durante os primeiros anos de vigor da lei. O órgão utilizará de medidas educativas e advertências, levando em consideração o comportamento da empresa acusada (se está colaborando ou não) antes de impor as penalidades mais rígidas.
E em último lugar, a lei prevê que a ANPD possa agir de ofício, ou seja, possa fiscalizar uma empresa sem que tenha havido denúncia ou reclamação sobre a mesma. Em outras palavras, mesmo que nenhum consumidor tenha prestado uma reclamação formal, o órgão pode questionar sua empresa sobre os procedimentos de tratamento de dados e penalizá-la caso haja irregularidades.
Quais são as penalidades previstas pela LGPD?
Como falamos, a multa prevista pela LGPD é de 2% do faturamento global anual da empresa, ou até R$ 50 milhões (o que for maior). No entanto, essa é a multa máxima, aplicada apenas para as violações mais graves. Ou seja, não significa que toda organização que receber uma reclamação será multada, mas poderá sofrer antes outras penalidades, que incluem:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais correspondentes à infração até a sua regularização;
- Eliminação dos dados pessoais correspondentes à infração.
Como adequar o pequeno negócio à LGPD?
A adequação da LGPD é um processo complexo, no entanto, essa complexidade diminui de acordo com o volume de tratamento dos dados da empresa. A chave aqui é entender os pontos-chave da lei que são três: a coleta de consentimento, a finalidade legítima para uso dos dados e os direitos do cidadão.
Abaixo, falaremos sobre cada um desses pontos em detalhes.
1. Coleta de consentimento
A LGPD estabelece que, para tratar dados pessoais, a empresa precisa antes coletar o consentimento do titular dos dados. Além disso, esse consentimento deve ser claro e explícito.
Isso significa que os pedidos de consentimento não podem mais ser ocultados em letras pequenas. Agora, eles devem ser apresentados de forma clara e separada de outras políticas em seu site ou comunicações — portanto, chega de caixas pré-marcadas.
O princípio aqui é que a inatividade não é mais uma forma legítima de confirmar o consentimento, ou seja, não basta que o usuário apenas não diga nada para que o consentimento seja considerado como dado, ele precisa fazê-lo explicitamente. O consentimento pode não ser exigido para dados pessoais pré-existentes, desde que você tenha uma base legal que esteja em conformidade com a legislação.
2. Finalidade legítima
A lei também exige que você tenha uma base legal (finalidade legítima) para tratar os dados. Essa finalidade também deve estar clara na hora de coletar o consentimento do usuário e fazer o aviso de processamento a eles.
Pode parecer complicado, mas um aviso de processamento justo é fornecer às pessoas informações claras sobre o que você está fazendo com seus dados pessoais. Seu aviso de processamento justo deve conter:
- por que você está processando os dados pessoais (a finalidade), incluindo a base legal que você tem;
- as categorias de destinatários para os quais você pode enviar os dados pessoais (cliente, funcionário, fornecedor etc);
- quanto tempo você vai reter os dados (o “período de retenção”) ou os critérios usados para determinar esses períodos de tempo.
Você também precisará notificar os indivíduos sobre a existência de seus direitos de dados pessoais.
3. Direitos do cidadão
A LGPD estabelece três direitos do cidadão: direito ao acesso, direito ao esquecimento e direito à portabilidade. Isso significa que sua organização deve ser capaz de fornecer uma cópia dos dados que trata caso seja solicitado (acesso), deve ser capaz de apagar os dados a qualquer momento (esquecimento) e deve conseguir transferir os dados para um terceiro caso o titular o deseje (portabilidade).
Como um direito extra, o cidadão também deverá ser notificado caso alguma violação aconteça na rede da empresa e comprometa os seus dados pessoais. Para isso, sua empresa deve:
- manter registros de dados pessoais atualizados e detalhes de suas atividades de processamento e categorias, realizando um mapeamento completo para te informar quais dados possui e onde estão armazenados;
- manter detalhes de quaisquer transferências para território estrangeiro;
- implementar medidas de segurança adequadas, que podem incluir pseudonimização e criptografia, e provar que você está testando essas medidas regularmente;
- implementar medidas de recuperação de desastres que permitam identificar um vazamento em tempo hábil e minimizar os danos;
- definir os períodos de retenção e procedimentos para exclusão dos dados depois do fim da sua finalidade de uso.
Conformidade com a LGPD: o que é diferente para pequenos negócios?
A conformidade com a LGPD é tão importante para pequenas empresas quanto para grandes corporações multinacionais. E agora, com a possibilidade de receber multas, não há mais desculpa para a conformidade, especialmente considerando o volume de informações que já estão disponíveis para as empresas.
Todos os negócios, desde um profissional autônomo que vende produtos pela internet até uma empresa multinacional, precisam observar como tratam dados pessoais e se certificar de que o tratamento segue os requisitos da lei. Também deve haver medidas em todas as organizações que permitam facilitar as solicitações de acesso a dados, procedimentos para exclusão e notificação de uma violação, caso ocorra.
No entanto, existem algumas diferenças no processo para pequenos ou grandes negócios. Em geral, grandes empresas optam por nomear um Oficial de Proteção de Dados (DPO — Data Processing Officer) para atender aos requisitos da LGPD. O profissional nessa posição será o responsável por liderar uma equipe para garantir a conformidade da empresa com a nova lei.
Contudo, devido à dimensão da empresa e ao volume de tratamento, ter uma equipe dedicada e um DPO nem sempre é a realidade dos pequenos negócios. Nesses casos, é mais comum que as empresas optem por uma consultoria especializada.
A opção por uma consultoria é uma saída menos onerosa para pequenos negócios, uma vez que dará acesso à mão de obra especializada, sem pesar a folha de pagamento. Também permite que a empresa seja mais objetiva no processo, ponto importante considerando o curto prazo de adequação que temos à frente.
Seja qual for a realidade da sua organização, ou a etapa em que está do processo, a BHS pode te ajudar. Conheça nosso serviço de gestão de conformidade pelo Microsoft 365, temos uma condição especial para você!