Os impactos da LGPD em pequenas empresas – Camargo & Vieira
A Lei Geral de Proteção de Dados, a LGPD, foi aprovada em 2018, e traz diversas mudanças a respeito da forma de tratamento de dados pessoais de pessoas naturais, inclusive em pequenas empresas. Dado pessoal, de acordo com a lei, é qualquer informação relacionada a um titular identificado ou identificável. Ou seja, dados como CPF, RG e telefone, bem como informações sobre estado civil, origem étnica e orientação sexual são consideradas, pela lei, como dados pessoais.
Outros dados podem ser considerados pela LGPD, ainda que não identifique uma pessoa natural diretamente, como IP de um computador, geolocalização de uma pessoa, CEP do endereço, etc.
Quero entender melhor como funciona a LGPD!
Para autorizar o tratamento desses dados, a LGPD elenca uma série de situações e hipóteses nas quais o seu tratamento é permitido. Isso garante, aos titulares dos dados, uma maior segurança e tranquilidade no que diz respeito ao tratamento de suas informações, pois seus dados não poderão mais ser tratados da forma como as empresas desejam. Existem, inclusive, diversas punições relativas ao descumprimento das determinações legais.
A discussão atual da ANPD quanto à LGPD e pequenas empresas
A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir e fiscalizar o cumprimento da lei, colocou recentemente em discussão, por meio de uma Minuta de Resolução, de agosto de 2021, a possibilidade de adoção de medidas facilitadoras para flexibilizar a adequação de microempresas e empresas de pequeno porte. É importante pontuar, contudo, que empresas que realizam tratamentos de alto risco e em larga escala, independente de seu tamanho, não estão contempladas nessa discussão, e cabe ao agente de tratamento a comprovação do seu enquadramento nas disposições dessa minuta.
A previsão da ANPD é estabelecer a flexibilização para cumprimento das obrigações de cumprimento aos direitos do titular. Além disso, possibilita às micro e pequenas empresas alternativas relacionadas a manutenção de um registro de suas operações de tratamento de dados, como determina a LGPD em seu artigo º37. Ademais, possibilita a simplificação dos relatórios de impacto e da comunicação de eventuais incidentes de segurança.
Contudo, a principal alteração presente na minuta diz respeito à figura do Encarregado de Proteção de Dados, o DPO. De acordo com o disposto, microempresas e empresas de pequeno porte não seriam mais obrigadas a nomear um encarregado, figura responsável, entre outras atividades, por estabelecer um canal de comunicação entre os titulares, a empresa e a ANPD, muito embora seja necessário haver um canal de comunicação facilitado ao titular dos dados.
Para ler a minuta da ANPD completa, clique aqui!
Qual é o mínimo que as pequenas empresas devem fazer?
Mesmo que a ANPD flexibilize algumas obrigações relativas aos registros de atividades e prazos, isso não significa que as pequenas empresas estão isentas de qualquer autuação. Antes de tudo, é de suma importância e necessidade que sejam realizados treinamentos e sensibilizações, para que todos os colaboradores estejam cientes sobre boas práticas de tratamento de dados, para evitar a ocorrência de eventuais incidentes. Além disso, devem estar também aptos e preparados para saber agir com rapidez e eficiência caso haja algum deslize, a fim de minimizar os riscos e tomar as medidas cabíveis.
Desta forma, ainda que a ANPD não obrigue aos microempreendedores a manutenção de um registro de atividades, é fundamental que seja feito um mapeamento completo dos processos de tratamento de dados da empresa. Somente dessa maneira poderá haver um entendimento das lacunas e medidas que precisarão ser tomadas de forma a mitigar os riscos. Isso ocorre porque uma revisão completa do fluxo interno de dados permite um olhar crítico sobre os processos, de forma que será possível identificar com mais facilidade eventuais lacunas e, assim, efetivar rapidamente as mudanças necessárias.
No que se refere à possibilidade de não nomeação de um encarregado de proteção de dados (DPO) para as microempresas e empresas de pequeno porte, é essencial que continue existindo um canal de comunicação direta com o titular, de forma que ele possa exercer seus direitos previstos em lei. A função do encarregado, como mencionado anteriormente, é, entre outras, de manter um diálogo aberto com os titulares de dados e com a Autoridade Nacional de Proteção de Dados. A sua ausência não significa que tais canais devam ser cortados, pois isso impossibilitaria qualquer tipo de contato com o titular.
Portanto, deve haver a criação de um mecanismo de contato entre a empresa e os titulares, para que possam exercer seus direitos, ainda que não seja por um contato centralizado na figura do encarregado.
Além disso, é papel do DPO promover treinamentos, manter um bom programa de privacidade e proteção de dados, opinar sobre a forma correta do uso dos dados pessoais e sensibilizar os colaboradores. Como dito acima, essas são práticas que deverão ser mantidas, de forma a preparar e capacitar todos os trabalhadores da empresa.
Como a Camargo & Vieira pode contribuir?
O escritório Camargo e Vieira atua há anos com consultoria em projetos de adequação de empresas à LGPD, sempre desempenhando com excelência seu papel. Dessa forma, conta com uma vasta experiência na área, e possui profissionais capacitados pela maior referência em proteção de dados no mundo, a IAPP– International Association of Privacy Professionals. Por isso, realiza projetos de adequação completos e elaborados, de forma a garantir que o funcionamento das empresas esteja em consonância com as determinações da lei.