Questões que PMEs devem considerar ao se prepararem para a LGPD

Aprovada pelo Congresso Nacional em 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), deverá entrar em vigor em agosto de 2020. A LGPD garante aos indivíduos uma série de direitos sobre suas informações, incluindo acesso, exclusão e anonimização de dados e a divulgação de terceiros, como parceiros e fornecedores, que possam ter contato com as informações de identificação pessoal (PII, na sigla em inglês).

Para pequenas e médias empresas, o impacto das multas por descumprir a LGPD pode ser devastador. Afinal, a penalização pode chegar a 2% da receita anual do negócio – até R$ 50 milhões de reais – por infração. Se sua companhia está trabalhando para se adequar à nova legislação, os pontos a seguir vão ajudar nesse esforço.

Entenda se a sua organização precisa operar em conformidade

Antes de contratar um data protection officer (DPO), não deixe de buscar orientação de advogados para entender melhor a lei. Compreenda se sua empresa é controladora ou processadora de dados – ou as duas coisas -, porque isso determinará qual será sua responsabilidade. Se você não coletar, armazenar ou vender informações de identificação pessoal, é possível que nem precise se preocupar com a LGPD.

Além disso, a coleta de determinados dados é isenta. Dados anônimos, por exemplo, desde que não sejam reversíveis ou usados para a criação de perfis comportamentais, geralmente não se enquadram no âmbito da LGPD. O mesmo vale para dados utilizados para fins acadêmicos ou artísticos; para investigações criminais ou questões de segurança pública; e os não utilizados para fins comerciais – todos estão fora do escopo da LGPD.

De acordo com a LGPD, existem prazos e procedimentos diferentes para startups e pequenas empresas se adequarem. A Autoridade Nacional de Proteção de Dados (ANPD), entidade governamental responsável pela aplicação das leis de proteção de dados, é responsável por determinar quais empresas devem aderir à legislação e nomear um DPO.

Assim como o GDPR (Regulamento Geral sobre a Proteção de Dados, da Europa), a LGPD exige que qualquer empresa que processe dados pessoais de clientes brasileiros cumpra a lei. Portanto, mesmo que a sede do seu negócio seja em outro país, você tem que seguir os regulamentos da LGPD.

Se você precisar cumprir a LGPD, localize onde os dados estão armazenados

Não importa se os dados pessoais estejam armazenados em bancos de dados, servidores de arquivos, documentos Word ou planilhas do Excel: é importante separar esses dados de informações não confidenciais. Ao isolar dados pessoais, você pode definir configurações especiais de segurança e adicionar uma camada extra de proteção a eles.

Fazendo isso, você se concentrará mais no fluxo de dados, tornando mais fácil responder a questionamentos como “quais dados estão sendo coletados?”, “de onde eles vêm?”, “por quanto tempo ficam armazenados?” e “quais processos estão sendo executados neles?”. Certifique-se de fazer backup desses dados também, para que você possa acessá-los rapidamente no caso de um incidente.

Um funcionário de cada departamento deve ser responsável pelas informações de identificação pessoal da área

Se sua empresa é de fato uma controladora ou processadora de dados, você deve nomear um DPO (“encarregado”) para realizar uma avaliação de impacto na proteção de dados (DPIA, na sigla em inglês). Esteja atento ao processamento de dados em larga escala, assim como a dados sobre assuntos sensíveis e qualquer informação de natureza pessoal. Você deve designar um funcionário de cada departamento da empresa para trabalhar em colaboração direta com o DPO enquanto ele realiza a DPIA – isso pode evitar muitas dores de cabeça pelo caminho.

Além disso, de acordo com a LGPD, o DPO pode estar baseado fora do Brasil. Na verdade, o DPO nem precisa ser uma pessoa única; tecnicamente, pode ser um grupo ou comitê de terceiros. No entanto, as pequenas e médias empresas não devem estourar o orçamento para cumprir a LGPD. É provável que você não precisará contratar uma consultoria terceirizada para cumprir com as responsabilidades do DPO.

Questões em aberto sobre a LGPD

Como último aviso, ainda existem algumas questões pendentes em relação à implementação da LGPD. Embora originalmente ela devesse entrar em vigor em fevereiro de 2020, foi adiada até agosto de 2020. E podemos ver outro atraso nos próximos meses. Além disso, até dezembro de 2019, a entidade governamental responsável pela aplicação da LGPD ainda não foi formalmente criada. E, por fim, o texto atual da lei exige que os DPOs forneçam evidências de uma violação de dados “dentro de um prazo razoável”, o que é uma cláusula bastante vaga.

*Por Andres Mendoza, consultor técnico da ManageEngine