A Lei Geral de Proteção de Dados (LGPD) já está em vigor e muitas empresas brasileiras já adequaram ou estão adequando seus processos internos para atender às novas exigências. A regra também vale para pequenas e médias empresas, que devem se atentar aos prazos e necessidades para evitar sanções futuras.
É importante lembrar que todas as empresas, independentemente do porte ou segmento de atuação, deverão revisitar seus processos de tratamento de dados pessoais (coleta, armazenamento, compartilhamento dentre outros), ou seja, informações pessoais de clientes, usuários e fornecedores. E é claro que, para as pequenas e médias empresas, o trabalho poderá ser mais árduo do que para grandes corporações, que já tem áreas de TI, Compliance, Governança, Qualidade e RH bem definidas e cooperando entre si.
A maioria das empresas são controladoras ou operadoras de dados pessoais, sejam de seus clientes, fornecedores, funcionários ou acionistas. Logo, a adequação será geral no mundo corporativo. E não estamos falando apenas de empresas que têm negócios ou processos envolvendo meios tecnológicos, mas também de empresas que manipulam dados pessoais de forma física, por meio de livros, registros, atas, fichas etc.
As pequenas e médias, mais do que as grandes empresas, devem, antes de buscarem soluções mágicas, extremamente baratas ou extremamente caras, adquirir ferramentas ou contratar profissionais, devem analisar o cenário da lei versus a estratégia do negócio, além da capacidade financeira e possíveis impactos que a lei poderá trazer para seu ambiente mercadológico.
Os pequenos e médios negócios podem começar com soluções simples, como análise geral do fluxo de dados pessoais que trafega na empresa, definição de papeis e responsabilidades sobre os dados pessoais com os quais a empresa trabalha e busca de parcerias tecnológicas confiáveis. Neste ponto específico, pode-se contratar desde uma análise inicial (assessment voltado pera dados pessoais), ou um processo completo de adequação à lei, a depender das definições disponíveis e do orçamento que possa ser dedicado a este projeto.
Ter o apoio de um DPO (Data Protection Officer), um profissional que se encarregará de avaliar a execução de todas as práticas necessárias à adequação da lei, pode ser oneroso para pequenas e médias empresas. No entanto, é possível avaliar a contratação de auditorias pontuais, capazes de validar e orientar se todos os pontos de riscos quanto aos dados pessoais estão devidamente mapeados e definidos em um plano de ação de tratativa, buscando o cumprimento da lei.
De uma forma mais ampla, também é possível avaliar a necessidade de um processo mais completo de adequação, que inclua a governança para a Lei de Proteção de Dados. Neste caso, todos os processos de negócios serão adequados e a equipe interna será capacitada a respeito das transformações que serão feitas no negócio, para que as práticas definidas pela nova lei sejam cumpridas à risca.
É possível que consultorias externas acabem esbarrando em deficiências já existentes na maioria das PMEs, como falta de documentação de processos, falta de objetivos de negócios claros, falta de estruturação de papeis e responsabilidades, entre outras. Se for o caso, este pode ser um excelente momento para reavaliar e definir todos estes tópicos, fundamentais à boa condução do negócio, com o apoio de um parceiro confiável.
Vale lembrar a todos os empresários de pequenos e médios negócios que 2021 já chegou para Lei de Proteção de Dados. As recentes ondas de ataques cibernéticos e vazamento de dados mostram que não estamos preparados para lidar com a responsabilização pelos dados pessoais de terceiros. Este é o momento de nos prepararmos, pois a quebra de confiança por parte dos clientes poderá trazer mais prejuízos do que as possíveis penalidades que a lei trará, a partir de agosto de 2021.
*Romney Dutra é CTO da MI Consult IT
