Por um desconhecimento ou uma má interpretação da nova lei de proteção de dados brasileiros as micro e pequenas empresas não estão tomando os cuidados necessários para cumprir a legislação.
As penalidades podem chegar em certos casos de advertências a multas sobre até 2% do faturamento da empresa. O que pode implicar em um valor expressivo quando falamos de empresas com pouca margem de lucro ou de capital de giro.
Desde a vigência da Lei n. 13.709/2018 em agosto de 2020 cada vez mais as grandes empresas se preocupam com os efeitos que podem surgir do descumprimento da lei geral de proteção de dados pessoais (LGPD).
Uma empresa de médio ou grande porte, na maioria dos casos, possui estrutura, condições e recursos para implantar um programa de proteção de dados pessoais nos termos da legislação.
Uma boa implantação de proteção de dados numa empresa de qualquer porte pode levar até 12 meses. É necessária uma visão multidisciplinar do negócio que vai se preparar para o cumprimento da legislação.
Infelizmente isso tem gerado algumas situações. A mais comum tem sido os pequenos e microempresários, querendo poupar recursos, buscar na internet minutas e modelos de documentos previstos na legislação.
Nem entrarei no mérito sobre realizar um instrumento jurídico sem a participação de um advogado, o que mais me preocupa é que este empresário de boa-fé pode se complicar e ficar ainda mais exposto a advertências, punições e má intenção de algumas pessoas.
Outra situação que se verifica é a de escritórios que vendem serviços em partes, pois os empresários acabam achanado uma implantação longa ou cara demais. O problema é que a documentação ser feita em partes podem criar documentos desconexos ou incompletos, ante a complexidade do negócio, da estrutura, ou da cultura empresarial ali disposta.
Esta situação, mesmo que mais técnica, ainda assim pode levar a aplicação de advertências e punições ao empresário, em razão da falta de uma estruturação mais conexa entre os documentos e a realidade da empresa.
Uma pequeno e microempresa a realidade, ainda mais tempos de crise em razão da COVID19, necessita reduzir custos, mas ainda assim precisa cumprir a legislação.
Não há necessidade de uma corrida desenfreada, pois a Agencia Nacional de Proteção de Dados já esclareceu que até agosto o foco será a orientação e a regulação de procedimentos, inclusive para as pequenas e microempresas.
As empresas que já estiverem se preparando até lá ganharão muito tempo e evitarão os efeitos de uma alta demanda quando agosto/2021 chegar.
Para uma implantação boa, se recomenda que o mesmo profissional ou o mesmo escritório faça o trabalho desde o começo. Isso permitirá que se analise a cultura da empresa, sua estrutura, suas possibilidades, e as melhores soluções para se realizar um serviço mais completo.
Explico, com a avaliação inicial, e entendendo como funciona o negócio, a varredura e mapeamento de dados se tornará mais efetiva. A elaboração de uma política de privacidade de dados levará em consideração a realidade fática da empresa e poderá ser mais simples ou complexa.
Uma empresa, mesmo micro ou pequena, trabalhará com dados de seus empregados, clientes, parceiros e até colaboradores terceirizados. Poderá utilizar guarda física de dados, ou sistemas em nuvens gratuitos. Em qualquer caso é essencial que o empresário tenha a noção dos riscos e importância que pode ter um incidente de perda de dados.
Vi outro dia na política de privacidade de uma microempresa a cautela com o uso de cookies, o que é muito importante normalmente, salvo que aquela empresa não usava cookies no seu site, ou seja, um valor jurídico desnecessário naquela política.
Com a política de privacidade feita observada a história, estrutura, atuação e a cultura da empresa os demais documentos serão elaborados em consonância com esta realidade.
É aí que surge o ponto mais trabalhoso, a realização do mapeamento dos dados que a empresa trata e a construção de um relatório de impacto que fará a correlação entre como o dado é tratado, guardado e eliminado. Esta gradação de risco entre tipo de dado e forma de tratamento, guarda e eliminação é detalhadamente explicado na norma ABNT NBR ISSO 31000:2018.
Com a elaboração do Relatório de Impacto de Proteção de Dados e as considerações sobre risco e a forma de diminuir um incidente é fundamental para que o empresário tenha a visão estratégica para melhor cuidar da proteção dos dados que estão sob sua guarda e tratamento.
Após a elaboração do Relatório de Impacto e com a visão inicial da realidade da empresa, deve ser formulado o Plano de Contingência a Incidentes, este plano buscará sempre impedir, cessar ou reparar um incidente envolvendo dados pessoais sob a guarda da empresa.
É fundamental que toda empresa, de qualquer porte, tenha ciência de que não existe um sistema perfeito e é sempre possível ocorrer um incidente. Com um Relatório de Impacto e um Plano de Contingência concatenados com a realidade da empresa permitirão uma solução mais rápida e efetiva num incidente.
Tão importante quanto a elaboração dos documentos previstos na legislação é a revisão periódica. Recomenda-se que a cada seis a doze meses a empresa faça esta revisão, que também ocorrerá sempre quando ocorrer qualquer tipo de incidente envolvendo dados pessoais sob sua guarda e tratamento.
Revisar o programa de proteção de dados garantirá ao empresário que seu sistema e forma de proceder acompanham as mudanças tecnológicas e legais que ocorreram ao longo do período anterior a revisão, e permitirá realizar, se for o caso, a eliminação legal de dados que não possuem mais necessidade de continuar sobre tratamento e guarda da empresa.
Mesmo parecendo passos complexos demais, o trabalho de implantação se feito ao longo de um período de ao menos 10 meses, permitirá suavizar esta aparente dificuldade e tornará o programa de proteção de dados o mais adequado a empresa.
Levando em consideração estes elementos, é possível realizar um trabalho num tempo razoável a um custo mais justo e que atenda necessidades legais da empresa de micro, pequeno ou médio porte.
A adequação a LGPD é um procedimento que demanda atenção aos detalhes, a elaboração de documentos que serão cobrados pela Autoridade Nacional, e que protegerá a empresa de demandas muitas vezes injustas, mas que podem reverter contra uma empresa mal preparada.
Quem achar que uma implantação estruturada pode ser feita em partes, ou com modelos na internet, eu posso desejar boa sorte, porque como você verá no Relatório de Impacto, o risco pode parecer pequeno, mas a aparência não coaduna com a realidade, e quando ocorrer uma cobrança ou um incidente o peso será muito maior.
