Empresas de pequeno porte serão mais afetadas pela nova Lei de Proteção de Dados

Lei não faz distinção do cumprimento de obrigações por porte ou faturamento das empresas; veja dicas de como implementar as regras da LGPD

FecomercioSP entende que deveriam ser criados critérios diferenciados às micros e pequenas empresas

(Arte: TUTU)

As micros e pequenas empresas terão mais dificuldade em se adequar à Lei Geral de Proteção de Dados‎ (LGPD), sancionada em 14 de agosto de 2018, que vai atingir empresas de todos os portes e setores da economia e punir aquelas que não fazem o tratamento de dados de maneira correta, respeitando o sigilo e a privacidade dos clientes.  

Embora a legislação brasileira seja semelhante — e até inspirada — no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), ela não especifica tratamento diferenciado para as MPEs. O documento europeu enfatiza que a aplicação do regulamento depende da dimensão da empresa e da natureza das atividades. Já a nova Lei Geral de Proteção de Dados não estabelece qualquer critério de cumprimento de obrigações por porte ou faturamento das empresas, e a não observância das regras pode resultar em advertência e aplicação de multa de 2% do faturamento - limitado ao valor de R$ 50 milhões; e até na suspensão das atividades da empresa.

A assessoria jurídica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) entende que o Poder Executivo Federal deve regulamentar a lei, criando critérios diferenciados às micros e pequenas empresas, que geralmente têm um volume de operação de tratamento de dados reduzido.  

Sendo assim, investir em uma consultoria especializada é recomendável para conseguir atender às novas exigências que entram em vigor em fevereiro de 2020. Na visão da Deep Center, empresa especializada em análise de dados, esse tipo de investimento é válido, caso o volume de clientes seja grande.  

Outro ponto que deve ser levado em consideração — e também um dos mais delicados — é se a operação desenvolvida pela empresa envolve o compartilhamento de dados com terceiros, por exemplo, quando os dados pessoais dos clientes e colaboradores podem ser partilhados com entidades externas, como fornecedores, agências ou consultores e até mesmo transferidos internacionalmente.  

É importante ressaltar que os titulares dos dados devem ter ciência de todo processo de operação e tratamento de dados, fornecendo seu consentimento específico para esses casos. A empresa também pode fazer um acordo de confidencialidade com os colaboradores e parceiros comerciais, para minimizar os riscos de vazamento de dados.

Independentemente do tamanho da empresa e do número de funcionários, a Deep Center recomenda o estabelecimento de um Comitê de Segurança da Informação. Essa comissão deve ser implantada para propor normas e procedimentos internos de segurança da informação e comunicações, além de assessorar a implementação das ações. Nesse comitê, deve ser designado um encarregado de proteção de dados (chamado de Data Protection Officer — DPO), que desempenhará um papel relevante no período de transição para o cumprimento do novo regulamento e no período inicial da aplicação da lei de proteção de dados.

O recomendável é que as empresas iniciem o quanto antes o processo de adequação.

Veja as dicas que podem auxiliar as MPEs na implantação da nova legislação:

* Analisar quais são os dados pessoais que, efetivamente, circulam na empresa (tanto de clientes quanto de colaboradores);

* Fazer um esboço do fluxo de dados dentro da empresa, ou seja, quais os dados recolhidos, de quem, por que, onde armazena, com quem compartilha, etc.;

* Observar os princípios da boa-fé e da finalidade específica – o tratamento deve ter propósitos legítimos, adequação e necessidade, sendo via de regra necessário o consentimento expresso do titular.
                                                                         FONTE:FECOMERCIOSP