Com a publicação da Lei Geral de Proteção de Dados Pessoais, em 2018, as empresas de todo o Brasil iniciaram um processo de adequação às suas diretrizes. Contudo, esse movimento tem se mostrado mais limitado entre as pequenas e médias empresas.
Isso se deve, entre outros motivos, à falta de um programa de segurança da informação estruturado em pequenas e médias empresas, ou ainda políticas de segurança que possam auxiliar seus colaboradores a conhecerem e agirem em conformidade com a lei.
O que são pequenas e médias empresas?
PMEs, ou pequenas e médias empresas, como o nome sugere, são negócios de porte reduzido em faturamento e também em número de funcionários.
As empresas de pequeno porte são aquelas que faturam entre R$ 360 mil e R$ 4,8 milhões por ano. Já as empresas de médio porte tem faturamento anual entre R$ 4,8 milhões e R$ 300 milhões.
As pequenas e médias empresas são consideradas a espinha dorsal da economia do Brasil, uma vez que, dentre o total de empreendimentos no país, essas correspondem à esmagadora maioria.
Segundo dados do Sebrae, dos 20 milhões de empreendimentos registrados no Brasil, 70% são pequenos negócios. Essa porcentagem corresponde a cerca de 13,5 milhões de empresas.
Quando se trata do setor do comércio, por exemplo, segundo o estudo realizado pela Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP), 96,3% das empresas do setor são de pequeno e médio porte.
Além disso, as PMEs também atuam como a maior fonte de renda e emprego para a população brasileira. Falando ainda do setor do comércio, as pequenas e médias empresas são responsáveis por 53,5% dos empregos.
Portanto, não há dúvidas de que as PMEs são fundamentais para o desenvolvimento do país. No entanto, quando se trata da corrida para a adequação à Lei Geral de Proteção de Dados, essas empresas encontram-se em desvantagem.
Isso porque, se comparada às grandes organizações, as PMEs têm muito menos recursos e orçamento.
O que é a Lei Geral de Proteção de Dados?
Mas, afinal, do que se trata a Lei Geral de Proteção de Dados?
A Lei nº 13.709/2018, ou ainda LGPD, sigla para Lei Geral de Proteção de Dados Pessoais, é a legislação que regulamenta o tratamento de dados por pessoas físicas e jurídicas de direito público e privado no Brasil.
Ela foi inspirada no GDPR, sigla em inglês para Regulamento Geral Sobre Proteção de Dados, legislação criada pela União Europeia para o mesmo fim.
A LGPD foi publicada em 2018 e sua vigência teve início em setembro de 2020, sendo que as sanções administrativas, ou seja, aquelas previstas pela lei, serão impostas a partir de agosto de 2021.
O início da vigência tem pressionado as empresas de todos os portes a adequação às suas diretrizes, a fim de evitar não só as penalidades previstas em lei pelo seu descumprimento, mas também eventuais processos judiciais e administrativos.
As principais diretrizes da LGPD versam sobre:
- proteção da privacidade dos titulares dos dados pessoais;
- maior controle dos titulares sobre seus dados;
- barrar a coleta de dados pelas empresas sem que haja autorização do titular ou outro motivo legal;
- punição das empresas que cometem algum tipo de abuso sobre o tratamento de dados.
Mas como saber se a lei se aplica à sua empresa?
Na verdade é bem simples: a lei brasileira de proteção de dados serve para toda empresa que coleta ou rastreia dados pessoais de um indivíduo brasileiro.
Vale dizer ainda que a legislação define “dados pessoais” como toda e qualquer informação que esteja relacionada a uma pessoa física identificada ou identificável.
Isso quer dizer que toda informação capaz de revelar a identidade de um indivíduo é considerada um dado pessoal. Isso inclui, por exemplo:
- nome, data de nascimento e outras informações pessoais;
- fotos ou vídeos;
- informações sobre religião, sexo, origem racial ou étnica, opinião política, e outras, também chamadas de dados pessoais sensíveis;
- documentos e formulários;
- endereço IP etc;
Qual é o impacto da LGPD para as pequenas e médias empresas?
Com o início da vigência da LGPD, seus impactos começam a ser sentidos pelas empresas de todos os portes. Em especial no que se refere a aplicação da LGPD para pequenas e médias empresas.
O principal ponto para essas empresas é a falta de conhecimento da lei e suas aplicações, bem como do seu enquadramento à sua atividade empresarial.
De acordo com uma pesquisa realizada pela ICTS Protiviti, consultoria de gestão de riscos e compliance, dentre as 104 empresas participantes do estudo, 58,3% não iniciaram as ações necessárias para a adequação à LGPD.
A pesquisa ainda indica que, dentre as exigências estabelecidas pela lei, a que menos é atendida, especialmente pelas pequenas empresas, é o mapeamento de dados pessoais e sensíveis.
O que pode justificar isso é o fato de que cerca de 71,8% das empresas avaliadas não possuem domínio sobre as informações sigilosas e sensíveis de seus clientes.
O mesmo número de empresas também não possui um programa de segurança da informação bem estruturado. Além disso, 75% não têm políticas de segurança implementadas.
Por fim, o estudo indicou, ainda, que 85% das micro e pequenas empresas participantes não capacitaram seus colaboradores para lidarem com a nova lei.
Dessa forma, a pesquisa mostra que, se por um lado parte dos empresários nem ao menos sabe da existência da lei, outra parte, que sabe, não tem ideia por onde começar essa adequação.
O impacto da LGPD em pequenas empresas pode ser ainda maior se comparado às grandes organizações, uma vez que uma das mais rigorosas sanções para o descumprimento da lei é uma multa que pode chegar a 2% do faturamento ou R$ 50 milhões.
A LGPD se aplica às PMEs de maneira diferente das grandes companhias?
Quando se trata da LGPD para empresas de médio e pequeno porte, no entanto, uma multa de R$ 50 milhões é inconcebível. Afinal, o lucro máximo de uma empresa de pequeno porte é de R$ 4,8 milhões por ano.
Por isso, vale mencionar que, mesmo que as PMEs estejam sujeitas a todas as sanções dispostas em lei, existe uma gradação de pena, que vai de advertências até sanções monetárias proporcionais.
A fiscalização da observância dos dispositivos da LGPD, bem como a aplicação das sanções, estará a cargo da Autoridade Nacional de Proteção de Dados (ANPD).
Outra obrigatoriedade prevista em lei que deve ser avaliada pela ANPD é a nomeação do Encarregado.
Inspirado na figura do DPO (Data Protection Officer), do GDPR, o Encarregado é o profissional indicado pela empresa para atuar como porta-voz entre a empresa e a ANPD e entre a empresa e o titular dos dados.
Além disso, também cabe a este profissional orientar os colaboradores e responsáveis pelo tratamento de dados sobre a melhor forma de praticar essa atividade, em observância à lei.
A LGPD para PMEs não dispensa a indicação do Encarregado por essas empresas.
Isso vale especialmente para empresas que lidam com grande quantidade de informações pessoais, uma vez que a atuação do Encarregado torna as atividades de tratamento mais seguras e diligentes.
Contudo, vale mencionar que a ANPD ainda pode atribuir a este profissional outras obrigações futuramente. Bem como definir a necessidade de sua indicação, de acordo com o porte ou o volume de operações de tratamento realizados pela empresa.
Como pequenas e médias empresas devem se preparar para a LGPD?
Como vimos, fazer com que sua PME esteja no caminho da conformidade com a LGPD é essencial. O primeiro passo para isso é conhecer a lei com propriedade, bem como entender como ela se aplica ao seu negócio.
Se você está buscando esse conhecimento de uma maneira mais dinâmica e simples, um curso pode ser o ideal para o seu caso.
O curso Privacy and Data Protection Essentials (PDPE), por exemplo, fornece o conhecimento necessário sobre a organização da proteção de dados pessoais, bem como os principais pontos da lei brasileira.
Além disso, também prepara o profissional para tirar sua certificação, válida para todos os países com legislação semelhante à LGPD.
Passos para a implementação da LGPD
Para auxiliar no processo de implementação da Lei Geral de Proteção de Dados para pequenas e médias empresas, listamos alguns passos essenciais.
- Criação de um corpo técnico: diz respeito à nomeação de funcionários responsáveis pela organização do material relativo a dados;
- Fazer o inventário dos dados pessoais: é o mapeamento de todos os dados pessoais tratados pela empresa, incluindo finalidades, bases legais, origem, local de armazenamento, etc.
- Nomeação do Encarregado ou DPO;
- Política de privacidade: estabelecimento de uma política de privacidade sobre tratamento de dados, que deve ser divulgada e seguida, contando com o apoio da alta administração;
- Documentação: trata da reunião de toda documentação relacionada a dados pessoais, como dados de empregados, fornecedores, clientes etc. Toda documentação deve estar organizada e classificada, a fim de que todas as atividades estejam devidamente registradas;
- Governança de dados: inclui mapear a origem e finalidades para as quais os dados foram coletados, bem como revisão das políticas de privacidade e verificação da rastreabilidade dos processos de tratamentos de dados;
- Segurança das informações: tem como finalidade assegurar a integridade e segurança do banco de dados. Inclui a implementação de medidas para a proteção dos dados pessoais e acessos não autorizados, além de condições acidentais ou ilícitas de destruição, perda, alteração, ou difusão imprópria dos dados;
- Atendimento aos direitos dos titulares: isto é, garantir que o titular dos dados possa exercer todos os direitos previstos em lei.
Todos esses cuidados já auxiliam no processo de implementação da LGPD em pequenas e médias empresas.