LGPD: como os pequenos devem se adaptar à lei de proteção de dados

Norma federal sobre dados pessoais é aprovada no Senado e segue para sanção presidencial; saiba do que se trata, quem atinge e como os empreendedores devem se adequar

PUBLICIDADE

Por Anna Barbosa
Atualização:

Você recebe em casa uma carta de divulgação de um produto, mas nunca forneceu seu endereço à empresa que o quer como cliente. Provavelmente, ela comprou seus dados de outra marca, a que você forneceu os dados de livre e espontânea vontade. Para proteger dados como esses e evitar que uma empresa possa comprá-los de outra foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada em 2018.

PUBLICIDADE

A LGPD, que previa vigência a partir de agosto de 2020, quase foi adiada por conta de uma MP (medida provisória), derrubada pelo Senado no dia 26 de agosto. Agora, seguiu para sanção presidencial e ainda restam dúvidas se ela já está em vigor ou se vale a partir da sanção do presidente, que pode ocorrer até meados de setembro.

Com a lei em vigor neste ano, de todo modo, tanto as empresas quanto os consumidores podem se preparar e exigir as medidas de proteção de dados pessoais, pois a parte judicial entre partes privadas existe, explica a advogada e DPO (Data Protection Officer) Gabriela de Ávila Machado.

Muitas dúvidas ainda surgem sobre a LGPD, principalmente sobre como os pequenos negócios devem se adaptar. Para ajudar os empreendedores, separamos as principais dúvidas sobre o tema e, com a ajuda de um consultor do Sebrae-SP, damos dicas sobre como fazer para se adequar à lei federal.

  • Afinal, o que é a LGPD? 

Publicidade

A LGPD é um conjunto de normas com direitos e deveres relacionados aos dados pessoais dos brasileiros. O principal objetivo é proteger a liberdade e a privacidade dos usuários e padronizar o tratamento dos dados utilizados nas empresas. 

  • Todas as empresas precisam se adequar à LGPD?

A lei é aplicável a qualquer atividade que envolva a utilização de dados, tanto por pessoas físicas quanto por pessoas jurídicas. Ou seja, todas as empresas que fazem o uso de dados precisam se adequar. Só estão isentos aqueles que utilizam dados pessoais apenas para fins acadêmicos e/ou artísticos e/ou jornalísticos.

  • A lei vale para todos os tipos de pessoa jurídica?

Sim. A lei vale para todos aqueles que lidam com dados, contemplando desde os microempreendedores individuais (MEI) até empresas multinacionais que atuam no território brasileiro.

Publicidade

  • Um leitor levanta a dúvida: a área de tecnologia de uma empresa de pequeno porte no setor aeroportuário apenas coloca os dados preenchidos pelos clientes no sistema da empresa. Há a necessidade de adequação? 

PUBLICIDADE

De maneira geral, todas as empresas precisarão se adequar à lei. Mesmo sem tratar os dados, é necessário explicar aos clientes o motivo pelo qual eles são coletados e garantir o armazenamento seguro, além de outras demandas exemplificadas pela lei. “Quando a empresa está em dúvida quanto ao que implementar ou adequar, é importante ter o acompanhamento de algum profissional especializado na lei para sugerir as adequações necessárias”, explica o consultor do Sebrae-SP Marcio Bertolini.

  • Dúvida de outro leitor: Sou MEI, presto serviço de limpeza de estofados. Tenho um site que serve apenas como divulgação da firma. Disponibilizo um número de telefone fixo para o cliente ligar e combinar a limpeza do estofado. Não possuo banco de dados dos clientes. Eu terei que realizar mudanças para me adequar à LGPD?

Ainda que você não possua um banco de dados digital, você trata dados dos clientes, como nome e telefone. Por isso, é importante que exista em seu site um espaço em que os titulares tenham acesso fácil para dar o consentimento dos dados, além de explicar a forma como eles são guardados e protegidos. Por exemplo: se você coleta o nome completo e o CPF para a emissão de nota fiscal, isso precisa estar explícito para os consumidores.

  • Quais são os tipos de dados?

Publicidade

A LGPD contempla todos aqueles que estejam relacionados à identificação de pessoas. Eles podem ser: 

  1. Dados sensíveis: necessitam de um tratamento especial, pois são dados referentes à origem racial/étnica; religião; opinião política; filiação a sindicatos; organização de caráter religioso, filosófico ou político; saúde ou vida sexual; genéticos ou biométricos.
  2. Dados de crianças e adolescentes: deve haver consentimento de pelo menos um responsável legal para isso, que deixe explícito quais dados serão utilizados e com quem serão compartilhados.
  3. Dados anonimizados: é o dado que não pode ser identificado e fica fora da lei, a não ser que o processo de anonimização possa ser revertido e utilizado na formação de perfis comportamentais. 

  • Como uma figura jurídica que utiliza dados de clientes pode armazená-los?

O armazenamento varia a cada empresa. Pode ser feito por meio de programas de armazenamento de informações ou softwares mais elaborados. 

Telemarketing em Santo André (SP); uso de dados dos clientes vai sofrer restrições com a LGPD. Foto: JF Diorio/Estadão

  • Quem deve ter acesso a esses dados dentro do meu negócio?

Publicidade

As informações devem ser direcionadas ao setor que as necessita. O consultor do Sebrae-SP Marcio Bertolini exemplifica a situação: “Uma escola lida com diferentes tipos de dados, como dados pessoais, sensíveis, financeiros. Na linha de colaboradores, se todos tiverem acesso a todas as informações, não há proteção de dados e é possível que sejam vazados. Por isso, é importante identificar os tipos de dados para poder granular o acesso, direcioná-lo a quem precisa”.

  • De acordo com a lei, o Data Protection Officer (DPO, encarregado pela proteção de dados) é um cargo obrigatório. Isso vale para todas as empresas?

Sim, pela lei vale para todas as empresas, e há necessidade de norma complementar para explicar a atuação do DPO. Mas, segundo o consultor do Sebrae-SP Marcio Bertolini, o pequeno negócio, dependendo de sua atividade, poderá dar a função do encarregado a qualquer funcionário que já faça parte do quadro de colaboradores ou até mesmo ao próprio dono, e não necessariamente contratar alguém habilitado como DPO. O mais importante para os pequenos, diz Bertolini, é que com ou sem encarregado formalmente definido eles estabeleçam um plano de readequação à lei.

Art. 5º Para os fins desta Lei, considera-se:

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Publicidade

  • Quais as principais diferenças na metrificação de dados entre pequenas e grandes empresas?

O "x" da questão é quais informações a empresa utiliza. Independentemente de seu tamanho, quanto mais dados forem utilizados, maior a necessidade de adequação à LGPD.

  • Como as franquias devem se adequar? A responsabilidade é do franqueado ou do franqueador?

A franquia deve seguir a mesma lógica de qualquer outro tipo de negócio. A responsabilidade é de ambos. Ou seja, ambos precisarão se adequar, tanto franqueado (que possui um CNPJ próprio para franquear qualquer marca) quanto o franqueador. “A lei vai prever uma responsabilidade solidária - ou seja, todos respondem no exercício da sua atividade. Existem responsáveis e corresponsáveis”, diz Bertolini.

  • Como será a fiscalização da lei?

Publicidade

Será feita pela Autoridade Nacional de Proteção de Dados (ANPD) e todo tipo de tratamento de dados pessoais deverá ser registrado, desde a coleta até uma possível exclusão. Deve-se registrar: 

  1. os tipos de dados utilizados
  2. a finalidade do uso deles
  3. o tempo de utilização
  4. práticas de segurança para o armazenamento
  5. com quem os dados podem ser compartilhados
  6. O que acontece se eu descumprir a LGPD?

A lei prevê punições que variam de acordo com os casos, mas segue parâmetros como: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a reincidência; o grau do dano e a cooperação do infrator, além de considerar a implantação de boas práticas e governança.

De acordo com a gravidade da falta e a intensidade da sanção, as penalidades podem ser:

  • Advertência, com indicação de prazo para adoção de medidas corretivas
  • Multa simples, de até 2% do faturamento do grupo
  • Multa diária, observado o limite total mencionado acima
  • Publicização da infração após confirmada a sua ocorrência
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
  • Eliminação dos dados pessoais a que se refere a infração

Publicidade

PASSO A PASSO PARA A LGPD

Para os pequenos empreendedores que ainda não se adequaram à LGPD, seguem orientações de Marcio Bertolini, consultor do Sebrae-SP, em 6 passos:

  1. Estabeleça um plano de ação: é preciso fazer um planejamento que preveja cada etapa das implantações e segurança da maneira como a empresa lida com os dados.
  2. Conscientize a si mesmo e a sua equipe: o principal passo para conscientização é otreinamento. “É essencial que as pessoas que trabalham no local entendam a lei e a mudança radical com que a sociedade lida com os dados”, diz Bertolini.
  3. Notifique os parceiros: todos aqueles com que você lida no seu negócio, fornecedores ou parceiros que vão fazer um trânsito dos dados, precisam estar adequados.
  4. Identifique os dados: para implementar a lei e o plano de ação, é preciso mapear os procedimentos, sabendo quais dados estão sendo coletados. Algumas perguntas que podem ser feitas: Com que tipo de dado eu lido? Como eu colho? Como eu armazeno? Quem tem acesso? Quais dados são importantes para o meu negócio? Quais não são?
  5. Estabeleça a governança: para este tópico, é preciso criar políticas internas ou rever as que já tem, além de rever contratos com parceiros e com os próprios clientes (adicionando, por exemplo, uma cláusula que os deixe cientes das informações que estão fornecendo).
  6. Tenha ferramentas de segurança: softwares e antivírus são básicos para evitar a entrada de invasores no sistema. Bertolini lembra, porém, que não basta só ter a parte de tecnologia bem cuidada. É preciso se preocupar também com os colaboradores que lidam com as informações. “A LGPD não é apenas sobre a compra de um software/antivírus. É a conscientização da maneira como eu lido com os dados dos meus clientes e daquilo que o meu negócio faz”, complementa o consultor.

Tem alguma dúvida sobre como se adequar à LGPD? Escreva para o PME.

* Estagiária sob a supervisão da editora do Estadão PME, Ana Paula Boni

Publicidade

Comentários

Os comentários são exclusivos para assinantes do Estadão.