Pequenas e médias empresas também precisam se adequar à Lei Geral de Proteção de Dados Pessoais.

Para quem ainda não sabe muito sobre esse assunto ou não tem certeza se essa lei “vai vingar”, vale explicar que a LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679, também conhecido como GDPR, que entrou em vigor em maio de 2018, com o propósito de tutelar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento dos indivíduos.

A LGPD faz parte de uma tendência global, liderada pela União Europeia e já adotada por diversos outros países, de normatização sobre a privacidade e da proteção de dados pessoais. Ao contrário da Europa (que edita normas neste sentido há mais de 25 anos), o Brasil carecia de legislação específica sobre a matéria, contando com previsões esparsas na Constituição Federal e em leis como, por exemplo, o Código Civil, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei do Acesso à Informação, dentre outras normas (inclusive setoriais), sendo a LGPD um grande marco no País.

De forma sucinta, uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que vai desde a recepção e a coleta até a guarda e a eliminação, sem deixar de lado a utilização propriamente dita), sendo o tomador da decisão (controlador) ou seu mero executor (operador), de realizar o enquadramento de cada uma destas operações em uma base legal, ou seja, em uma permissão trazida pela LGPD.

Outra das obrigações-chave da LGPD diz respeito à adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerado inadequado ou ilícito.

Todas essas mudanças fazem com que a LGPD, pode agregar valor às empresas que demonstrarem respeito à privacidade e à proteção dos dados dos indivíduos, tornando-se um diferencial competitivo no mercado.

A LGPD já está em vigor desde setembro de 2020 e a ANPD - a Autoridade Nacional de Proteção de Dados Pessoais - iniciou suas atividades em novembro do mesmo ano. Por força da Lei Federal 14.010/2020, as sanções administrativas previstas na LGPD – que serão aplicadas pela ANPD, entrarão em vigor a partir de 01 de agosto de 2021. Estas sanções vão desde advertência à aplicação de multa de até 2% do faturamento da empresa, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração.

Mas isso significa que as pequenas e médias empresas não precisam se preocupar com a LGPD ainda?

Muito pelo contrário: todas as organizações estarão sujeitas, por exemplo, à atuação de outras entidades públicas que militarão em favor dos titulares dos dados pessoais, assim como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.

Exigências decorrentes da LGPD, ainda, poderão ser feitas por outras empresas às PMEs – sejam estas clientes, fornecedoras ou até parceiras, já que a LGPD vai exigir a conformidade em toda a extensão das cadeias de tratamentos de dados pessoais.

Posto o senso de urgência, como começar a se adequar? Por onde começar?

Primeiramente, a organização deve assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD durante seu período de vacância.

Segundo, é importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados. Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso). 

Em decorrência do parágrafo anterior, o terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.

Como passos seguintes, sugere-se disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as empresas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.

A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.

Enquanto essas medidas iniciais são tomadas, as organizações deverão imediatamente dar início aos seus planos de adequação à LGPD, sendo altamente recomendável a busca de profissionais qualificados e preparados para atuar na área. Um processo de conformidade envolve desde a auditoria dos fluxos de tratamento de dados da empresa até a organização do programa de governança de dados e a conscientização dos funcionários e demais envolvidos.


Autor

  • Mônica Villani

    Advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance de proteção de dados, com certificações EXIN PDPE® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP. Assistente do LAB de Inovação da Faculdade de Direito de São Bernardo do Campo. Instrutora da Privacy Academy.

    Textos publicados pela autora

    Fale com a autora

    Site(s):

Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

VILLANI, Mônica. LGPD – primeiros passos para as PMEs. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 26, n. 6550, 7 jun. 2021. Disponível em: https://jus.com.br/artigos/90963. Acesso em: 15 jun. 2021.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Tratamento de Dados do Jus.

Regras de uso