LGPD para pequenas empresas: como elas serão impactadas?
O Brasil tem nas pequenas e médias empresas a espinha dorsal da sua economia. Ou seja, atualmente, dos 20 milhões de empreendimentos registrados no país 13,5 milhões são PMEs. Por isso, não há dúvida de que as pequenas empresas são essenciais para o desenvolvimento do Brasil. No entanto, apesar de sua relevância, pode-se argumentar que as empresas menores foram deixadas para se defender na corrida pelo cumprimento da LGPD para pequenas empresas.
Comparadas às grandes corporações, MPEs precisam se esforçar muito mais para seguir as regras, pois seus orçamentos e recursos simplesmente não estão à altura.
Consequentemente, isso deixa muitas empresas enfrentando um ultimato: elas cumprem e baseiam toda a sua operação na conformidade? Ou se colocam em risco de tomar uma alta multa? Não é uma ótima posição para se estar, não é mesmo? Contudo, há uma luz no fim do túnel para as pequenas e médias empresas.
Possui uma PME? Continue lendo e veja como a LGPD para pequenas empresas impactará seu negócio e o que você pode fazer para entrar em conformidade sem gastar rios de dinheiro!
Quais os objetivos da LGPD para pequenas empresas?
Em primeiro lugar, um pouco de contexto. A Lei Geral de Proteção de Dados padroniza as leis de proteção de dados em toda o Brasil e tenta alinhá-las com a tecnologia atual. Mais importante, ela visa:
- Proteger a privacidade das pessoas;
- Dar a elas mais controle sobre seus dados pessoais;
- Impedir as empresas de coletar dados pessoais sem permissão ou outro motivo legal;
- Punir empresas que abusam de dados pessoais.
Se você possui um negócio, bem como qualquer empresa de qualquer tamanho, a LGPD significa que você tem um novo conjunto de deveres legais para cumprir.
Para iniciantes, a lei concede às pessoas o direito de solicitar às empresas que:
- Confirmem quais dados pessoais elas mantêm;
- Explique onde esses dados estão sendo armazenados e para quais finalidades;
- Forneça gratuitamente uma cópia eletrônica dos dados;
- Pare de compartilhar os dados, verifique se terceiros param de usá-los e exclua os dados. Isso é chamado de direito a ser esquecido.
Mais importante, a lei cria ‘privacidade por design’. Isso significa que:
As empresas precisam coletar a menor quantidade de dados pessoais necessária para sua finalidade. Tem um formulário de contato em seu site? Se o nome e o endereço de e-mail de uma pessoa forem suficientes para contatá-la, seu formulário não deverá coletar informações sobre idade, tipo de corpo ou sexo.
A menos que você tenha outras razões legais para processar dados, precisará do consentimento expresso e específico da pessoa. Você não pode adicionar uma pessoa à sua lista de endereços apenas porque ela lhe deu o cartão de visita. Eles precisam concordar especificamente em estar na lista de discussão.
Em quais empresas a LGPD se aplica?
A LGPD se aplica sempre que uma empresa coleta ou rastreia os dados pessoais de um indivíduo brasileiro.
A lei define dados pessoais como “qualquer informação relacionada a uma pessoa física identificada ou identificável”. Em outras palavras, dados são dados pessoais. E, portanto, protegidos pelo LGPD, se puderem ser usados para revelar a identidade de um indivíduo. Isso inclui:
- Informações pessoais como nome, idade, data de nascimento, país de nascimento e país de residência;
- Fotos ou vídeos;
- Documentos e formulários;
- Um endereço IP ou configurações específicas do site.
A falta de compliance com a LGPD pode resultar em penalidades pesadas. Sua empresa pode ser multada em mais de 2% do seu faturamento anual ou em R$ 50 milhões, se você violar a lei.
As pequenas e médias empresas estão isentas da LGPD?
Não, elas não estão. Logo, a LGPD se aplica sempre que uma empresa coleta dados pessoais de um cidadão brasileiro. Isso vale tanto para microempresas com três funcionários quanto para as megas corporações com escritórios em vários continentes.
Dessa forma, dito isso, você precisa manter um registro escrito de suas atividades de processamento de dados se:
- Suas atividades de processamento de dados podem afetar os direitos e liberdades dos indivíduos;
- Você processa os chamados dados sensíveis, que incluem raça ou etnia, crenças políticas, religiosas ou filosóficas, filiação sindical, dados sobre a saúde ou a sexualidade da pessoa;
- Você processa dados pessoais regularmente.
Como manter minha PME em compliance?
Colocar sua PME no caminho da conformidade com a LGPD para pequenas empresas não é tão difícil quanto você imagina. Aqui está uma lista de verificação de conformidade com a nova lei para começar.
1. Quais dados pessoais você coleta?
Você deve saber quais informações pessoais você coleta e se alguma delas é sensível. Você também deve se perguntar:
- De onde vêm as informações?
- Por que você está coletando elas?
- O que você está fazendo com isso?
Sua empresa deve ser capaz de responder a essas perguntadas caso seja solicitado pelo titular dos dados ou pelo órgão regulador.
2. Você tem consentimento?
A menos que você tenha motivos legais para usar dados pessoais, os indivíduos devem dar seu consentimento. Ele deve ser:
- Dado livremente;
- Específico;
- Informado;
- Não ambíguo.
Você deve manter um registro por escrito do consentimento. Também, é preciso fazer com que a retirada do consentimento seja rápida e fácil.
Um software de backup em Cloud compatível com a LGPD para pequenas empresas pode ajudar aqui. Em particular, pode:
- Manter um registro seguro dos nomes das pessoas e dos dados pessoais que você guarda sobre elas;
- Registrar o consentimento delas, especificando qual consentimento foi dado para as informações (por exemplo, para receber seu boletim mensal);
- Resolver rapidamente os desafios da proteção de dados que a LGPD traz e reduzir a sobrecarga de gerenciamento com um único console unificado.
3. Os dados estão seguros?
Sua empresa é responsável pelos dados pessoais que ela coleta. E você corre o risco de ser multado se esses dados caírem em mãos erradas. A falta de cultura de segurança dos funcionários nas PMEs, somada à ausência das corretas soluções de proteção, fazem da pequena empresa um alvo perfeito para os cibercriminosos. Assim, para garantir conformidade, é preciso:
- Usar software de criptografia ao armazenar ou transmitir dados pessoais online;
- Classificar as informações corretamente segundo os níveis de segurança;
- Proteger sua rede. Os funcionários descuidados são a principal causa de violações de dados. Portanto, uma política de TI sólida é essencial. Você também deve investir em software de segurança, incluindo um firewall;
- Criar avisos de política de privacidade e cookies compatíveis com a LGPD;
- Usar um sistema DLP — Data Loss Prevention — confiável;
- Proteger seus e-mails evitando ataques de phishing/ransomwares;
- Verifique seus fornecedores quanto à conformidade com a LGPD.
4. E se houver uma violação grave?
Você deve relatar violações graves ao regulador dentro de 72 horas ou corre o risco de ser multado. Assim, verifique se você possui procedimentos de relatório em vigor. Além disso, o mais importante é treinar os seus funcionários para:
- Estar atentos a possíveis violações;
- Entender o que é uma violação grave;
- Reconhecer bandeiras vermelhas.
Claramente, a LGPD para pequenas empresas é mais do que um conjunto de regras que você deve seguir para não ser multado. Ou seja, Ninguém gosta de ter suas informações privadas tiradas sem o seu consentimento. Ou mantidas em algum lugar onde criminosos poderiam pôr as mãos.
Contudo, manter a conformidade com a nova regulação pode ser difícil, especialmente para negócios que não possuem um foco em TI. Nesse caso, contar com uma empresa especialista que possa orientar a adequação à lei é um grande diferencial. Isso ajuda a reduzir os riscos de penalidades que podem ser causadas pela não conformidade com os requisitos da LGPD.
Gostou do nosso artigo sobre os impactos da LGPD para pequenas empresas? Quer continuar aprendendo? Então, não deixe de baixar gratuitamente o nosso ebook sobre os 10 passos para proteger os seus e-mails!