Lei Geral de Proteção de Dados e as Micro e Pequenas Empresas

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor na sua quase totalidade em setembro de 2020. Muitas empresas ainda não se prepararam, e outras sequer conhecem as novas regras, e agora correm o risco de serem penalizadas.

Há, basicamente, duas razões para o surgimento da LGPD. A primeira delas é o surgimento da GDPR, que é a versão europeia da lei. Quando seu texto final foi proposto, em 2012, ela foi considerada pioneira e importantíssima no combate ao crescimento do cibercrime em toda a Europa. Quando entrou em vigor, seis anos depois, ela inspirou outros continentes e países a tomarem caminhos semelhantes.

Foi aí que a segunda razão entrou em cena. Por aqui, o projeto da Lei Geral de Proteção de Dados foi consequência de diversas autoridades de todo o país. Tendo uma lei que define o que é e o que não é legal, fica muito mais fácil combater os crimes virtuais — que, seguindo o ritmo do resto do mundo, tiveram um crescimento vertiginoso nos últimos anos.

Portanto, se sua empresa utiliza dados de usuários, precisa ter um fluxo seguro e adequado, desde a coleta até o fim do tratamento dessas informações. Os dados devem ser coletados com a autorização do usuário, e somente podem ser processados com o seu consentimento expresso e específico. 

O que é LGPD?

A LGPD, de forma geral, estabelece regras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais físicos e digitais, trazendo mais proteção aos trabalhadores, clientes e parceiros do seu negócio.

Com ela, o titular conhece as regras sobre o tratamento dos dados pessoais, dá seu consentimento para o tratamento das informações, além de se sentir seguro quanto ao uso correto delas e da não comercialização ou vazamento.

Quais os fundamentos da LGPD?

• Respeito à privacidade, protegendo os dados das pessoas.
• Autodeterminação informativa, para que as pessoas sejam informadas e possam tomar decisões corretas.
• Liberdade de expressão, informação, comunicação e opinião.
• Inviolabilidade da intimidade, da honra e da imagem.
• Desenvolvimento econômico, tecnológico e inovação.
• Livre iniciativa, livre concorrência e defesa do consumidor, garantindo que os dados pessoais possam continuar sendo tratados e as empresas possam gerir livremente seus negócios, respeitando os direitos dos consumidores, já previstos no Código de Defesa do Consumidor.
• Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.

O que são dados pessoais?

São dados que permitem identificar, direta ou indiretamente, um indivíduo, como por exemplo: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.

Mas, será que tudo é dado pessoal?

Não! Existem dados que são anonimizados, ou seja, relativos à pessoa física que não possa ser identificada, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do tratamento. 

Esses dados não são considerados dado pessoal e, por consequência, não precisam obedecer às regras previstas na LGPD.

E o que são dados sensíveis?

Dados sensíveis são aqueles que podem levar à discriminação do seu titular, portanto merecem ser tratados com mais cautela como: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, informação genética ou biométrica, entre outros. 

A  LGPD nas pequenas e médias empresas

A Autoridade Nacional de Proteção de Dados (ANPD) lançou um Guia para ajudar quem tem micro e pequena empresa a se adequar à Lei Geral de Proteção de Dados (LGPD) entre os principais tópicos destacam-se:

1. Conscientização e treinamento: o primeiro passo que deve ser dado pelas empresas é conhecer a fundo a nova lei. Informar e sensibilizar todos os colaboradores da empresa, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados, sobre as obrigações legais existentes na LGPD e em normas e orientações editadas pela ANPD.
2. Gerenciamento de contratos: estabeleça cláusulas de segurança da informação que assegurem a proteção de dados pessoais nos contratos, tais como: regras para fornecedores e parceiros; regras sobre compartilhamentos; relações entre controlador-operador; orientações sobre o tratamento a ser realizado, com vedação a tratamentos incompatíveis com as orientações do controlador.
3. Controle de acesso: implemente um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais.
4. Segurança dos dados pessoais armazenados: colete e processe apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida, minimizando a coleta de dados.
5. Segurança das comunicações: proteja os e-mails com anti-spam e filtros de e-mail. Remova os dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em redes públicas.
6. Gerenciamento de vulnerabilidades: adote e atualize periodicamente softwares antivírus. Realize varreduras periódicas nos dispositivos e sistemas utilizados. 
7. Dispositivos móveis: separe dispositivos móveis de uso privado daqueles de uso institucional, quando possível. Implemente funcionalidades que permitam apagar remotamente os dados pessoais armazenados em dispositivos móveis.
8. Serviços em nuvem: realize um contrato de acordo de nível de serviço com o provedor de serviços em nuvem, contemplando a segurança dos dados armazenados e avaliando se o serviço oferecido atende aos demais requisitos de segurança da informação estabelecidos.

As MPEs precisam se adequar à LGPD?

Os pequenos negócios terão tratamento diferenciado na Lei Geral de Proteção de Dados Pessoais (LGPD), conforme a Resolução CD/ANPD Nº 02 no Diário Oficial da União (DOU), pela ANPD, em 27 de janeiro de 2022.

A Resolução tem como objetivo facilitar a adaptação e adequação de agentes de tratamento de pequeno porte às normas da LGPD.

Confira algumas das determinações. 

• Dispensa da obrigação de nomear um DPO/Encarregado de Tratamento de Dados Pessoais. 
• Flexibilização com base no risco e escala do tratamento.
• Flexibilização do atendimento às requisições dos titulares por meio eletrônico ou impresso.
• Dispensa da obrigação de eliminar, anonimizar ou bloquear dados excessivos.
• Dobro do prazo com relação a outros agentes de tratamento.
• Flexibilização do relatório de impacto como forma simplificada.

É importante lembrar que os pequenos negócios não estão dispensados de realizar a adequação à LGPD, somente terão prazos e processos simplificados e diferenciados. 

Quais as penalidades previstas?

Desde o dia 1º de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) passou a ter autorização para aplicação das penalidades da LGPD a todas as empresas que descumprirem qualquer um dos normativos da Lei.

A multa prevista pela LGPD é de 2% do faturamento global anual da empresa, com teto de até R$ 50 milhões (multa máxima), aplicada a violações mais graves.

Além das multas, há a possibilidade de outras penalidades:

• advertência com prazo para adoção de medidas;
• possibilidade de publicização da infração;
• bloqueio dos dados pessoais até a sua regularização;
• suspensão parcial por até seis meses do banco de dados envolvido;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Eder Daré é Advogado na SEG ADVOGADOS ASSOCIADOS, especialista em LGPD, membro do Núcleo de Proteção de Dados do Oeste da Bahia, responsável pela cadeira da Medicina e Saúde.