A Lei Geral de Proteção de Dados Pessoais e as Micro e Pequenas Empresas.

Data:

Por um desconhecimento ou uma má interpretação da nova lei de proteção de dados brasileiros as micro e pequenas empresas não estão tomando os cuidados necessários para cumprir a legislação.

nova lei
Créditos: Sarayut | iStock

As penalidades podem chegar em certos casos de advertências a multas sobre até 2% do faturamento da empresa. O que pode implicar em um valor expressivo quando falamos de empresas com pouca margem de lucro ou de capital de giro.

Desde a vigência da Lei n. 13.709/2018 em agosto de 2020 cada vez mais as grandes empresas se preocupam com os efeitos que podem surgir do descumprimento da lei geral de proteção de dados pessoais (LGPD).

Uma empresa de médio ou grande porte, na maioria dos casos, possui estrutura, condições e recursos para implantar um programa de proteção de dados pessoais nos termos da legislação.

Uma boa implantação de proteção de dados numa empresa de qualquer porte pode levar até 12 meses. É necessária uma visão multidisciplinar do negócio que vai se preparar para o cumprimento da legislação.

Infelizmente isso tem gerado algumas situações. A mais comum tem sido os pequenos e microempresários, querendo poupar recursos, buscar na internet minutas e modelos de documentos previstos na legislação.

Nem entrarei no mérito sobre realizar um instrumento jurídico sem a participação de um advogado, o que mais me preocupa é que este empresário de boa-fé pode se complicar e ficar ainda mais exposto a advertências, punições e má intenção de algumas pessoas.

Outra situação que se verifica é a de escritórios que vendem serviços em partes, pois os empresários acabam achanado uma implantação longa ou cara demais. O problema é que a documentação ser feita em partes podem criar documentos desconexos ou incompletos, ante a complexidade do negócio, da estrutura, ou da cultura empresarial ali disposta.

Esta situação, mesmo que mais técnica, ainda assim pode levar a aplicação de advertências e punições ao empresário, em razão da falta de uma estruturação mais conexa entre os documentos e a realidade da empresa.

Uma pequeno e microempresa a realidade, ainda mais tempos de crise em razão da COVID19, necessita reduzir custos, mas ainda assim precisa cumprir a legislação.

Não há necessidade de uma corrida desenfreada, pois a Agencia Nacional de Proteção de Dados já esclareceu que até agosto o foco será a orientação e a regulação de procedimentos, inclusive para as pequenas e microempresas.

As empresas que já estiverem se preparando até lá ganharão muito tempo e evitarão os efeitos de uma alta demanda quando agosto/2021 chegar.

Para uma implantação boa, se recomenda que o mesmo profissional ou o mesmo escritório faça o trabalho desde o começo. Isso permitirá que se analise a cultura da empresa, sua estrutura, suas possibilidades, e as melhores soluções para se realizar um serviço mais completo.

Explico, com a avaliação inicial, e entendendo como funciona o negócio, a varredura e mapeamento de dados se tornará mais efetiva. A elaboração de uma política de privacidade de dados levará em consideração a realidade fática da empresa e poderá ser mais simples ou complexa.

Uma empresa, mesmo micro ou pequena, trabalhará com dados de seus empregados, clientes, parceiros e até colaboradores terceirizados. Poderá utilizar guarda física de dados, ou sistemas em nuvens gratuitos. Em qualquer caso é essencial que o empresário tenha a noção dos riscos e importância que pode ter um incidente de perda de dados.

empresas
Créditos: lovelyday12 | iStock

Vi outro dia na política de privacidade de uma microempresa a cautela com o uso de cookies, o que é muito importante normalmente, salvo que aquela empresa não usava cookies no seu site, ou seja, um valor jurídico desnecessário naquela política.

Com a política de privacidade feita observada a história, estrutura, atuação e a cultura da empresa os demais documentos serão elaborados em consonância com esta realidade.

É aí que surge o ponto mais trabalhoso, a realização do mapeamento dos dados que a empresa trata e a construção de um relatório de impacto que fará a correlação entre como o dado é tratado, guardado e eliminado. Esta gradação de risco entre tipo de dado e forma de tratamento, guarda e eliminação é detalhadamente explicado na norma ABNT NBR ISSO 31000:2018.

Com a elaboração do Relatório de Impacto de Proteção de Dados e as considerações sobre risco e a forma de diminuir um incidente é fundamental para que o empresário tenha a visão estratégica para melhor cuidar da proteção dos dados que estão sob sua guarda e tratamento.

Após a elaboração do Relatório de Impacto e com a visão inicial da realidade da empresa, deve ser formulado o Plano de Contingência a Incidentes, este plano buscará sempre impedir, cessar ou reparar um incidente envolvendo dados pessoais sob a guarda da empresa.

É fundamental que toda empresa, de qualquer porte, tenha ciência de que não existe um sistema perfeito e é sempre possível ocorrer um incidente. Com um Relatório de Impacto e um Plano de Contingência concatenados com a realidade da empresa permitirão uma solução mais rápida e efetiva num incidente.

Tão importante quanto a elaboração dos documentos previstos na legislação é a revisão periódica. Recomenda-se que a cada seis a doze meses a empresa faça esta revisão, que também ocorrerá sempre quando ocorrer qualquer tipo de incidente envolvendo dados pessoais sob sua guarda e tratamento.

Revisar o programa de proteção de dados garantirá ao empresário que seu sistema e forma de proceder acompanham as mudanças tecnológicas e legais que ocorreram ao longo do período anterior a revisão, e permitirá realizar, se for o caso, a eliminação legal de dados que não possuem mais necessidade de continuar sobre tratamento e guarda da empresa.

Mesmo parecendo passos complexos demais, o trabalho de implantação se feito ao longo de um período de ao menos 10 meses, permitirá suavizar esta aparente dificuldade e tornará o programa de proteção de dados o mais adequado a empresa.

Levando em consideração estes elementos, é possível realizar um trabalho num tempo razoável a um custo mais justo e que atenda necessidades legais da empresa de micro, pequeno ou médio porte.

A adequação a LGPD é um procedimento que demanda atenção aos detalhes, a elaboração de documentos que serão cobrados pela Autoridade Nacional, e que protegerá a empresa de demandas muitas vezes injustas, mas que podem reverter contra uma empresa mal preparada.

Quem achar que uma implantação estruturada pode ser feita em partes, ou com modelos na internet, eu posso desejar boa sorte, porque como você verá no Relatório de Impacto, o risco pode parecer pequeno, mas a aparência não coaduna com a realidade, e quando ocorrer uma cobrança ou um incidente o peso será muito maior.

Luiz Philipe Ferreira de Oliveira
Luiz Philipe Ferreira de Oliveira
Advogado, Professor Universitário, Mestre e Doutor pela FADUSP.

Deixe um comentário

Compartilhe

Inscreva-se

Últimas

Recentes
Veja Mais

Torcedora não será indenizada por respingos de água lançados por jogador durante partida de futebol

Uma torcedora que havia solicitado indenização de R$ 100 mil por danos morais após ser respingada por água lançada por um jogador durante uma partida de futebol entre a Chapecoense e o Corinthians, em 2018, teve seu pedido negado pela Justiça. O caso ocorreu na Arena Condá, no oeste do Estado, e gerou repercussão na mídia.

Plataforma de rede social deve indenizar influencer por falha na proteção de conta após ataque hacker

Uma empresa operadora de rede social foi condenada pela Justiça catarinense a indenizar uma influencer digital por danos morais após a inércia da plataforma em proteger sua conta contra um ataque hacker. A decisão, proferida pelo Juizado Especial Cível do Norte da Ilha, determinou o pagamento de uma indenização no valor de R$ 5 mil, além do restabelecimento imediato da conta da influenciadora, sob pena de multa diária de mais R$ 5 mil.

Transportadora tem indenização negada por falta de gerenciamento de risco no caso de roubo de carga

A 5ª Câmara Civil do Tribunal de Justiça de Santa Catarina (TJSC) decidiu, por unanimidade, negar provimento ao recurso de apelação de uma empresa transportadora que teve sua carga de bobinas galvanizadas, avaliada em R$ 174.643,77, roubada. A seguradora se recusou a indenizá-la, alegando que a empresa não implementou o gerenciamento de risco previsto em contrato.

TJDFT condena homem por furto de celular em troca de serviços sexuais

A 3ª Turma Criminal do Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) manteve, por unanimidade, a decisão que condenou um homem a um mês de detenção pelo furto de um aparelho celular de outro homem para o qual teria prestado serviços sexuais.