Artigo escrito por Ricardo Maia, sócio e advogado da BMAdv
O que é e a quem se aplica a LGPD?
A sigla LGPD significa Lei Geral de Proteção de Dados (Lei 13.709/2018). A lei em questão já está plenamente em vigor e estipula como deve ser o processamento de dados pessoais das pessoas físicas, com o objetivo principal de proteger os direitos básicos de liberdade e privacidade.
Uma dúvida que sempre surge entre empresários e empresárias é: “Tudo bem que essa lei se aplica a grandes empresas (como Amazon, Google e Facebook), mas e as pequenas e médias empresas, será que elas também precisam se adequar?”
A resposta é: sim.
Traremos ao longo deste artigo algumas dicas iniciais para que sua pequena ou média empresa possa seguir os passos corretos para cumprir a LGPD.
Como se adequar à LGPD? Conheça os primeiros passos
1. Treinamento da sua equipe
A primeira medida que deve ser tomada por uma empresa ou empreendedor que busca adequar seu negócio às diretrizes da LGPD é o treinamento.
Mas, calma, não precisa correr para fazer algum curso de graduação, ou especialização, muito menos gastar muito dinheiro. Isso porque o mais importante para a sua situação é investir em treinamentos práticos. Aspectos que possam ser efetivamente relacionados ao seu negócio.
Os principais assuntos a que você precisa se atentar são:
a) Os princípios da LGPD;
b) Os direitos dos titulares de dados;
c) As bases legais que autorizam a empresa a tratar dados pessoais;
d) As responsabilidades do Controlador e do Operador de dados pessoais;
e) As medidas de segurança da informação.
Esses assuntos trazem um panorama geral da lei, sendo esses os mais diretamente ligados com a atuação empresarial.
Sugerimos que os treinamentos sejam realizados para toda a empresa, além da necessidade de reforçar alguns pontos de maior atenção para setores específicos, como tecnologia, marketing e setor pessoal.
2. Nomeação de um encarregado de dados
O segundo passo é a indicação de um encarregado de dados para a sua empresa.
A LGPD, em seu artigo 41, trouxe a necessidade de que as empresas que realizam algum tratamento de dados pessoais indiquem o Encarregado de Dados.
E o que seria o Encarregado de Dados? Uma pessoa (que pode ser pessoa física ou jurídica) que será indicada pela empresa para atuar como canal de comunicação entre essa empresa e o titular de dados.
Além disso, essa pessoa será responsável por acompanhar a execução das normas da LGPD dentro da empresa, bem como fazer a comunicação dela com a ANPD (Autoridade Nacional de Proteção de Dados Pessoais).
3. Criação de um canal de comunicação
Após definido quem será o Encarregado de Dados da sua empresa, é necessário que essa pessoa esteja visivelmente apresentada aos titulares de dados.
Assim, sempre que algum titular de dados tiver dúvidas, ou quiser exercer algum de seus direitos, deverá se comunicar com o Encarregado, e não com outros setores da empresa.
É nesse momento que surge a importância de se criar um canal de comunicação da empresa (por meio do Encarregado de Dados) com os titulares de dados.
É relevante destacar que o melhor canal de comunicação é aquele que mais se adequa à realidade da empresa e ao público-alvo (titulares de dados).
Então, se a empresa não possui um site ativo, será dificultada a opção de um campo de “fale conosco”. Por outro lado, se a empresa atua apenas no âmbito digital, sem uma sede física ativa, será dificultada a opção do endereço para envio de correspondências físicas.
4. Verificação das medidas de segurança da informação
O quarto passo a ser seguido por uma empresa que busca se adequar à LGPD é a adoção de medidas de segurança da informação, ou a verificação dessas medidas, caso já as tenha.
É bastante comum a associação de LGPD apenas a incidentes de segurança, como vazamento de dados, invasão hacker ou perda de arquivos que não estavam em um backup.
Porém, como está sendo apresentado, a LGPD é muito mais do que isso.
No entanto, ainda assim, esse ponto merece muita atenção por parte das empresas, pois caso haja incidentes de segurança da informação que causem algum problema relacionado aos dados pessoais, provavelmente estará sendo descumprida alguma disposição da LGPD.
A lei coloca, em seu Capítulo VII, algumas medidas obrigatórias para as empresas, bem como algumas opções de boas práticas e governança de dados.
Ou seja, a própria lei traz algumas dicas para que as empresas possuam sistemas seguros e que mantenham a integridade dos dados.
Nesse ponto, é muito importante a participação de todos da equipe, principalmente daquelas áreas mais ligadas à tecnologia.
5. Revisão de contratos e elaboração da Política de privacidade
Após feitas todas as medidas anteriores, o quinto passo deve ser a revisão dos contratos e a criação de uma política de privacidade para sua empresa.
A LGPD estabelece responsabilidades não apenas àquelas empresas que coletam os dados diretamente do titular, mas também responsabiliza todas aquelas pessoas que tenham acesso a esses dados, caso haja algum incidente ou mau uso desses dados.
Portanto, se sua empresa está adequada à LGPD, mas se relaciona com outras empresas (clientes, fornecedores, prestadores de serviços) que não estejam de acordo com a lei, além de elas responderem por esses desacordos, é possível que sua empresa também responda.
Esse é o principal motivo para se ter cuidado com as empresas que você contrata, afinal, os dados pessoais dos seus clientes/usuários devem ter a mesma proteção, ou até mesmo maior do que eles recebem na sua empresa.
E quanto à política de privacidade, será que toda empresa precisa ter?
É bem comum achar que apenas aplicativos e sites precisam de política de privacidade, mas, esse documento é relevante para todas as empresas.
Afinal, o intuito da política de privacidade é comunicar ao titular de dados quais os cuidados que a empresa adota em relação aos dados pessoais do titular.
Portanto, se sua empresa deseja passar para seus usuários, clientes e colaboradores a mensagem de que cuida de seus dados, deverá sim criar uma política de privacidade.
Isso faz parte, inclusive, do princípio da publicidade (as empresas devem informar aos titulares de dados o que está acontecendo com esses dados pessoais).
Apesar disso, não se deve adotar modelos prontos que, muitas vezes, estão disponíveis na internet.
A política de privacidade deve refletir a exata realidade presente na empresa, por isso, deve-se fornecer informações corretas e claras sobre a sua empresa.
Outro ponto relevante é que a política de privacidade não deve ser muito longa, pois quanto maior, mais difícil a leitura do titular de dados.
Aplicar todas essas medidas é fundamental, mas elas somente não são suficientes para uma adequação 100% efetiva.
Existem diversas outras medidas que devem ser implementadas nas empresas, que somente podem ser identificadas por profissionais capacitados e que possuem experiência prática, pois cada empresa possui aspectos específicos que demandam muito estudo, dedicação e envolvimento de toda a equipe.
Por exemplo: o mapeamento dos dados na empresa, a identificação das bases legais para o tratamento de dados, a documentação de todas as boas práticas realizadas pela empresa e diversas outras.
Por isso, consulte sempre um especialista e busque a implementação dessas medidas.
É importante lembrar que a lei já está valendo integralmente e as pequenas e médias empresas devem se preocupar tanto quanto as grandes empresas em relação ao tema.
Imagem: <a href='https://br.freepik.com/fotos/tecnologia'>Tecnologia foto criado por rawpixel.com - br.freepik.com</a>
.png)
