Desde o mês de agosto de 2020 a Lei nº 13.709/2018, ou, como ficou popularmente conhecida, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, prevendo duras sanções e penalidades para empresas que desrespeitam os seus regulamentos.
Essa é uma realidade antecipada por grandes empresas de todo o território nacional, que adaptaram as suas operações para torná-las mais eficientes na coleta de informações e seguras na manipulação de dados.
Mas, você já se perguntou qual o impacto da LGPD para pequenas empresas?
Muitos empresários responsáveis pela gestão de empresas menores imaginam que, porque as suas operações não lidam com um grande volume de dados, elas não estão sujeitas a essas regulamentações. Mas a verdade não poderia ser mais diferente.
As regras previstas na LGPD são aplicáveis para todos os portes de empresas, sejam elas digitais ou não.
Então, você quer conhecer as particularidades da LGPD para pequenas empresas? Este artigo é sobre esse assunto. Preparamos um guia completo para te ajudar a adequar as suas operações às novas regulamentações e evitar problemas com a justiça. Faça uma boa leitura!
O que é LGPD? Entenda os principais conceitos
A Lei Geral de Proteção de Dados Pessoais (LGPD) tem o objetivo de estabelecer diretrizes para a coleta, o processamento e o armazenamento de dados que empresas coletam de seus clientes, ou usuários.
Seu intuito é evitar que empresas façam mau uso dos dados dos cidadãos brasileiros.
A principal inspiração para a criação da LGPD no Brasil foi a General Data Protection Regulation (GPDR), uma regulamentação parecida, que entrou em vigência nos países da União Europeia em 2018.
Aqui no Brasil, a Lei Geral de Proteção de Dados entrou em completo vigor em agosto de 2020, após um longo período de adaptação para as empresas.
Dessa forma, o Brasil é, hoje, parte das nações que contam com uma legislação específica para a proteção de dados dos seus cidadãos.
Princípios que pautam a legislação
A legislação é regida por alguns princípios básicos. E são eles:
- Finalidade: a finalidade diz respeito à coleta e a manipulação de dados com um propósito legítimo e explícito, sem a possibilidade de que esses dados sejam usados posteriormente para fins que não foram descritos.
- Adequação: o tratamento dos dados deve ser compatível com a finalidade descrita.
- Necessidade: esse princípio estipula que a coleta de dados deve ser feita de maneira restrita, sendo utilizados apenas os dados necessários para a finalidade expressa.
- Livre acesso: todas as informações coletadas, assim como as finalidades da coleta devem ser explicitadas de maneira fácil de se acessar e fácil de se compreender.
- Qualidade dos dados: de acordo com a LGPD, o titular dos dados tem o direito de corrigir informações erradas sempre que for necessário.
- Transparência: os responsáveis pela coleta de informações devem promover um acesso simples e claro às informações relacionadas à coleta de dados.
- Segurança: o princípio da segurança determina que precisam haver medidas técnicas e administrativas para garantir a confidencialidade das informações e prevenir vazamentos.
- Prevenção: o pilar da prevenção mostra que empresas devem tomar medidas para precaver eventuais quebras de sigilo que possam acontecer, tomando providências para não apenas mitigar os riscos, mas também reduzir danos.
- Não discriminação: a coleta de dados não pode ser realizada para fins discriminatórios. Alguns dos principais tipos de dados relevantes para este princípio são os de origem racial ou étnica, opinião política, religião, geolocalização, filiação sindical, estado de saúde ou genético ou orientação sexual.
- Responsabilização e prestação de contas: esse princípio determina que o agente tratador dos dados (ou seja, o operador, ou o controlador) é o responsável por estabelecer todas as medidas de segurança, assim como provar a sua eficácia.
Atores no tratamento de dados pessoais
Existem cinco principais atores no tratamento de dados pessoais dentro do contexto da LGPD: o titular, o controlador de dados pessoais, o operador de dados, o encarregado e a Autoridade Nacional de Proteção de Dados.
Falaremos sobre cada um deles nos tópicos a seguir. Veja só:
- Titular: o titular é a pessoa física que detém os direitos sobre as informações sendo coletadas. Eles podem ser clientes de um negócio, ou parceiros comerciais de uma empresa, por exemplo.
- Controlador de dados pessoais: o controlador de dados pessoais pode ser uma pessoa física, ou jurídica. Seu trabalho é administrar os dados e fazer o seu uso adequado.
- Operador de dados pessoais: o operador é a pessoa ou empresa responsável por fazer o tratamento dos dados coletados em nome do controlador. Essa pode ser, por exemplo, uma empresa que presta serviços para alguma outra companhia e tem acesso aos dados coletados.
- Encarregado: o encarregado, enquanto isso, é uma pessoa física, ou jurídica responsável por acompanhar as medidas de proteção. Essa pode ser uma posição de trabalho externa, ou terceirizada.
- Autoridade Nacional de Proteção de Dados (ANPD): a ANPD é o órgão de fiscalização de todos esses processos. Esse é um órgão vinculado ao Ministério da Justiça e seu trabalho é assegurar o cumprimento de toda a regulação.
Tipo de dados pessoais
É importante notarmos que a LGPD não estabelece proibições para o uso de dados pessoais, mas determina regras diferenciadas para a coleta e o tratamento, dependendo do tipo de dado que será utilizado.
Existem três principais tipos de dados: os anonimizados, os bancos de dados e os dados pessoais sensíveis. Entenda-os agora:
Dados anonimizados
Os dados anonimizados são relativos às informações que não identificam o seu titular. Eles, por natureza, são usados de maneira mais quantitativa do que qualitativa, uma vez que podem mostrar estimativas apuradas de tendências no geral, mas não servem para identificar indivíduos.
Banco de dados
Os dados de banco de dados referem-se ao conjunto estruturado de dados pessoais que podem ser identificados em um, ou vários, locais. Eles são individuais, mas não entram na categoria dos dados sensíveis, pois não denotam informações de cunho pessoal.
Alguns exemplos de informações de banco de dados são:
- Nome;
- Conjunto de características pessoais;
- Interesses e preferências;
- E-mail corporativo;
- Telefones residencial e celular;
- Posição geolocalizada;
- E-mail não corporativo;
- Documentos: CPF, RG, CNH;
- Endereço residencial;
- Conjunto de hábitos de navegação;
- Internet Protocol (IP);
- Cookie / Log (IP + hora de acesso);
- Hábito de navegação.
Dados pessoais sensíveis
Os dados pessoais sensíveis, por sua vez, são dados relacionados à individualidade de uma pessoa. Alguns bons exemplos são:
- Origem racial ou étnica;
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- Informações de saúde ou relacionadas à vida sexual, genética;
- Biometria.
Como a LGPD impacta as pequenas empresas?
Pequenas empresas também podem sentir o impacto das medidas de proteção da informação, sobretudo no que diz respeito ao período de adaptação. Pequenas empresas, na maioria das vezes, não têm a infraestrutura ou a cultura de segurança de dados que grandes empresas podem ter construído.
Além disso, o despreparo de equipes também é um fator de risco, uma vez que o erro humano está entre as principais causas de vazamento de informações.
Sendo assim, é possível falar que a LGPD requer um grande esforço de adaptação por parte das pequenas empresas, no sentido de evitar sanções jurídicas e financeiras.
Consequências para empresas que não se adequarem
Falando em sanções, é importante frisarmos as consequências que esperam empresas que negligenciam as medidas de segurança propostas pela LGPD.
A principal punição é a multa. Ela pode corresponder até 2% do faturamento de uma empresa – desde que o valor não atinja o teto de R$ 50 milhões.
Além disso, empresas que promovem medidas de segurança pouco efetivas para proteção dos dados estão mais suscetíveis a ataques e invasões cibernéticas, o que pode fazer com que seu negócio perca a credibilidade dos clientes e fornecedores.
Primeiros passos para adequar sua empresa à LGPD
Desde as grandes companhias, até as micro empresas, é preciso uma boa dose de planejamento e adaptação para que a adequação à Lei Geral de Proteção de Dados Pessoais. Na LGPD para pequenas empresas de limpeza não é diferente.
Entenda agora quais são os primeiros passos para fazer com que a sua pequena empresa adeque-se corretamente à LGPD.
1. Diagnóstico do cenário atual
O diagnóstico LGPD é um mapeamento completo de seu ambiente de armazenamento de dados, entendendo como os dados são coletados, tratados e quais os processos que faltam para que a adequação seja completa às normas previstas na Lei.
2. Definição das políticas de segurança
Também é importante notar que as políticas de segurança da informação precisam ser estipuladas.
Dessa maneira, sua empresa saberá exatamente quais são os processos envolvidos na coleta, na manipulação e na segurança desses dados, trabalhando também no treinamento de todos os profissionais que entram em contato com esses dados.
3. Mapeamento do fluxo dos dados
O mapeamento do fluxo de dados é essencial no processo de adequação. Esse documento mostra o caminho que todos os dados coletados fazem dentro da empresa, como eles são usados e armazenados.
Alguns dos pontos para se mapear nessa fase são:
- Tipo de dados coletados;
- Volume dos dados;
- Origem dos dados;
- Locais de armazenamento.
Marcos para aplicação da LGPD nas empresas
A Secretaria de Governo Digital promoveu um conjunto de ações para incentivar a cultura da proteção de dados e acelerar o processo de adaptação de empresas à Lei Geral de Proteção de Dados Pessoais.
Esses conjuntos de ações são chamados de marcos de conformidade e podem ser aplicados na adaptação da LGPD para pequenas empresas e empresas de outros portes. Conheça alguns deles abaixo e veja como acessá-los:
Termo de Uso e Política de Privacidade
Toda empresa precisa ter um Termo de Uso e Política de Privacidade, principalmente quando presta serviços por meio de aplicações como sites, aplicativos ou sistemas para dispositivos móveis.
Você pode encontrar o guia de formulação para Termos de Uso clicando neste documento, elaborado pelo Governo do Brasil.
Avaliação de Riscos
A avaliação de riscos procura ajudar pequenas empresas a identificar e mensurar os riscos de privacidade envolvidos na manipulação das informações. Acesse o Guia de Avaliação de Riscos de Segurança e Privacidade aqui.
Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
Esse documento orienta a elaboração de documentos de transparência, ajudando empresas a descreverem com eficiência os processos envolvidos no tratamento dos dados. Acesse o template de RIPD aqui.
Segurança em Aplicações Web
O guia de segurança em aplicações web tem o intuito de auxiliar profissionais relacionados com o desenvolvimento de sistemas a construírem soluções mais seguras, em conformidade com os requisitos da LGPD. Acesse o guia aqui.
Cloud Services para segurança dos dados com a SAN Internet
A SAN Internet Brasil é uma empresa especializada em soluções de segurança para empresas de todos os portes, incluindo empreendimentos de pequeno porte.
Nós oferecemos soluções especializadas para ajudar a sua empresa a hospedar sites, aplicativos, e-mails ou outras funcionalidades de maneira simples e muito segura.
E o melhor de tudo é que a sua empresa pode redimensionar o escopo dos nossos serviços à medida que suas operações crescem. Assim, você conta com uma solução adaptável e flexível.
Dentre os serviços que oferecemos estão a hospedagem de Cloud Server, com servidores otimizados para cada tipo de projeto; e o Backup na Cloud, uma solução simples e inteligente para garantir a segurança das suas informações, seja onde você estiver.
Conclusão
A Lei Geral de Proteção de Dados é um conjunto de regras cujo objetivo é evitar que empresas façam mau uso dos dados dos cidadãos brasileiros, fazendo com que a sua coleta e manipulação sejam controladas.
Ela entrou em vigor no ano de 2020 e, com ela, também foram estabelecidas uma série de sanções para companhias que negligenciam a importância de se tratar os dados de seus clientes com responsabilidade.
A implementação da LGPD para pequenas empresas não se diferencia daquela que é aplicada em negócios de grande porte, mas o processo pode ser desafiador, principalmente se não existe uma cultura de segurança de dados na companhia.
Neste artigo, procuramos desenvolver um guia para implementação da LGPD para pequenas empresas e mostramos também alguns dos recursos oficiais, disponibilizados pelo governo, que podem te ajudar na adequação.
Para saber mais sobre soluções de segurança de informação, continue navegando pelo nosso blog!
Leia também: