sexta-feira, 20 de setembro de 2019

Empresas de pequeno porte serão mais afetadas pela nova Lei de Proteção de Dados


Lei não faz distinção do cumprimento de obrigações por porte ou faturamento das empresas; veja dicas de como implementar as regras da LGPD

FecomercioSP entende que deveriam ser criados critérios diferenciados às micros e pequenas empresas

(Arte: TUTU)

As micros e pequenas empresas terão mais dificuldade em se adequar à Lei Geral de Proteção de Dados‎ (LGPD), sancionada em 14 de agosto de 2018, que vai atingir empresas de todos os portes e setores da economia e punir aquelas que não fazem o tratamento de dados de maneira correta, respeitando o sigilo e a privacidade dos clientes.  

Embora a legislação brasileira seja semelhante — e até inspirada — no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), ela não especifica tratamento diferenciado para as MPEs. O documento europeu enfatiza que a aplicação do regulamento depende da dimensão da empresa e da natureza das atividades. Já a nova Lei Geral de Proteção de Dados não estabelece qualquer critério de cumprimento de obrigações por porte ou faturamento das empresas, e a não observância das regras pode resultar em advertência e aplicação de multa de 2% do faturamento - limitado ao valor de R$ 50 milhões; e até na suspensão das atividades da empresa.

A assessoria jurídica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) entende que o Poder Executivo Federal deve regulamentar a lei, criando critérios diferenciados às micros e pequenas empresas, que geralmente têm um volume de operação de tratamento de dados reduzido.  

Sendo assim, investir em uma consultoria especializada é recomendável para conseguir atender às novas exigências que entram em vigor em fevereiro de 2020. Na visão da Deep Center, empresa especializada em análise de dados, esse tipo de investimento é válido, caso o volume de clientes seja grande.  

Outro ponto que deve ser levado em consideração — e também um dos mais delicados — é se a operação desenvolvida pela empresa envolve o compartilhamento de dados com terceiros, por exemplo, quando os dados pessoais dos clientes e colaboradores podem ser partilhados com entidades externas, como fornecedores, agências ou consultores e até mesmo transferidos internacionalmente.  
É importante ressaltar que os titulares dos dados devem ter ciência de todo processo de operação e tratamento de dados, fornecendo seu consentimento específico para esses casos. A empresa também pode fazer um acordo de confidencialidade com os colaboradores e parceiros comerciais, para minimizar os riscos de vazamento de dados.

Independentemente do tamanho da empresa e do número de funcionários, a Deep Center recomenda o estabelecimento de um Comitê de Segurança da Informação. Essa comissão deve ser implantada para propor normas e procedimentos internos de segurança da informação e comunicações, além de assessorar a implementação das ações. Nesse comitê, deve ser designado um encarregado de proteção de dados (chamado de Data Protection Officer — DPO), que desempenhará um papel relevante no período de transição para o cumprimento do novo regulamento e no período inicial da aplicação da lei de proteção de dados.

O recomendável é que as empresas iniciem o quanto antes o processo de adequação.
Veja as dicas que podem auxiliar as MPEs na implantação da nova legislação:
* Analisar quais são os dados pessoais que, efetivamente, circulam na empresa (tanto de clientes quanto de colaboradores);

* Fazer um esboço do fluxo de dados dentro da empresa, ou seja, quais os dados recolhidos, de quem, por que, onde armazena, com quem compartilha, etc.;

* Observar os princípios da boa-fé e da finalidade específica – o tratamento deve ter propósitos legítimos, adequação e necessidade, sendo via de regra necessário o consentimento expresso do titular.
                                                                         FONTE:FECOMERCIOSP

Nenhum comentário: