A aplicação da Lei Geral de Proteção de Dados nas pequenas empresas e startups

A aplicação da Lei Geral de Proteção de Dados nas pequenas empresas e startups

Brunella de Souza Santos*

19 de fevereiro de 2021 | 04h30

Brunella de Souza Santos. FOTO: DIVULGAÇÃO

Em vigor desde agosto de 2020, a Lei Geral de Proteção de Dados “LGPD” ainda gera muitas dúvidas e discussões.

Além de causar dúvidas sobre a incidência, formas de aplicação e adaptação da rotina das empresas na coleta e armazenamento de dados, outro ponto que merece destaque é a forma de implementação da LGPD nas pequenas empresas e nas startups que, em sua maioria, trabalham com pouco giro de capital e apenas profissionais do ramo específico do negócio.

Diferente das grandes empresas que, independente do ramo de negócio, possuem departamentos jurídicos e de TI internos e bem estruturados, uma clínica odontológica é, em sua maioria, formada por dentistas, assim como uma academia possuirá, em sua maioria, profissionais de Educação Física.

Conhecidas por seu caráter inovador, as startups surgem, em sua maioria, de ideias que se implementam com baixo custo, poucos recursos humanos e alto potencial de escalonamento.

A pergunta que se faz é: como implementar as disposições da Lei Geral de Proteção de Dados para os pequenos negócios e startups, sem comprometer o orçamento do negócio e garantindo a completa adequação à LGPD?

A Lei Geral de Proteção de Dados tem como objetivo central proteger dados pessoais e sensíveis, garantindo a privacidade da pessoa natural e o controle dos dados pelo titular do dado.

Para tanto, a Lei definiu o que é dado pessoal e o que é dado sensível.

Dado pessoal é definido como qualquer informação que possa identificar uma pessoa, como nome, CPF, número da identidade ou telefone. Já o dado sensível é definido como aquele que confere alguma característica a pessoa, como convicção religiosa, dado referente a saúde, vida sexual, dado biométrico, dado genético dentre outros.

O tratamento dos dados pessoais e sensíveis é definido como qualquer operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Sendo assim, o proprietário de uma loja que anota o nome e o CPF do cliente, seja para troca de informações com outros setores da economia, seja para fidelizar o cliente e enviar promoções da loja ou ainda para avisar quando um determinado produto estiver disponível ou qualquer outro motivo está sujeito a proteger as informações pessoais do cliente.

Da mesma forma, uma clínica que anota o nome e faz o prontuário do paciente com suas informações clínicas está acumulando, além de dados pessoais, dados sensíveis do indivíduo, que deverão estar devidamente protegidos, nos termos da LGPD.

A LGPD não apenas define que os dados pessoais e sensíveis devem estar protegidos, como também determina como essa proteção deve acontecer. Estabelece, ainda três personas envolvidas diretamente no tratamento dos dados: 1) Controlador – a quem cabe a decisão sobre o tratamento dos dados; 2) Operador: quem efetivamente realiza o tratamento dos dados em nome do Controlador; e 3) Encarregado: pessoa que será o canal de comunicação entre o controlador, o titular dos dados e a Agência Nacional de Proteção de Dados (ANDP).

Nas grandes corporações, surge um novo cargo, o DPO (Data Protection Officer), profissionais altamente qualificados, encarregados pela proteção dos dados dentro as empresas. Nas pequenas empresas e nas startups, uma só pessoa pode acumular duas ou até as três funções estabelecidas pela Lei. Assim, em uma loja, o dono da loja pode ser o Controlador e o Encarregado e o vendedor o Operador, haja vista que será este que irá colher os dados do titular e inserir no banco de dados da loja, por exemplo.

De acordo com a LGPD os dados precisarão ser mapeados, ou seja, deve existir um documento que que indique quais os caminhos percorridos pelo dado pessoal dentro da empresa, incluindo os processos e os procedimentos pelos quais esse dado foi submetido.

As empresas precisam ainda criar um Relatório de Impacto à Proteção de Dados, que é um Instrumento de responsabilidade do Controlador, por meio do qual, realizará a descrição dos processos para mitigação de riscos de vazamento de dados e de responsabilidades atribuídas em eventuais vazamentos.

O artigo 46 da LGPD estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As medidas de segurança deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. Em outras palavras, desde o nascimento de um novo produto já devem ser observadas as disposições da LGPD.

Existem ainda uma série de direitos dos titulares dos dados que devem ser observados.

A Lei prevê multa de até 2% do faturamento e até proibição total do exercício das atividades relacionadas ao tratamento de dados em razão das infrações cometidas às normas previstas na LGPD, além de responsabilização do controlador e do operador em ações cíveis movida pelo titular dos dados.

A adequação à LGPD se tornou essencial para todos os estabelecimentos que promovem tratamento de dados pessoais e sensíveis. Dessa forma, as recomendações para pequenas empresas e startups são:

  • Informe-se sobre a LGPD. Conheça os principais dispositivos da Lei e sua aplicabilidade ao seu negócio. O tratamento do dado será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular espera. Conheça os direitos dos titulares dos dados e forneça informações claras ao titular sobre o tratamento dos dados.
  • Treine sua equipe. Lembre-se que será o Controlador quem responderá por atos cometidos por todos da empresa, seja em ações administrativas ou cíveis. No entanto, caso o Controlador comprove que fez o devido treinamento de sua equipe, notadamente do Operador, a responsabilidade poderá ser modulada.
  • Mapeie seus processos. Escreva como deve ser o fluxo da informação, coleta e armazenamento dos dados. Lembre-se que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados e a doção de boas práticas e governança podem diminuir as sanções.
  • Se possível, contrate consultoria especializada e evite modelos prontos. Talvez seu negócio não comporte a contratação de um DPO. Mas pode ser extremamente vantajoso contratar uma consultoria para ajudar no mapeamento dos processos e treinamento da equipe. O seu negócio possui particularidades que devem ser observadas e respeitadas, por isso, um modelo pronto pode não ser aplicável ao seu negócio. É fundamental construir uma forma de proteção de dados que se adeque ao seu negócio.

A LGPD traz maior segurança para os indivíduos e respeito a privacidade. Por outro lado, estabelece uma série de regras e critérios que deverão ser observados pelas empresas. Ser uma pequena empresa, uma empresa de atuação familiar ou uma startup não exime do cumprimento das disposições da LGPD.

Todas as empresas, independentemente do porte, que realizam tratamento de dados devem se adequar. E a adequação prévia é sempre mais vantajosa que a reparação de um dano causado.

*Brunella de Souza Santos, advogada. Pós-Graduada em Compliance. LLM Direito Societário e Mercado de Capitais. Especialista em Proteção de Dados e Direito da Tecnologia da Informação

Comentários

Os comentários são exclusivos para assinantes do Estadão.