Bom, acredito que quase todo mundo ouviu falar sobre a temida LGPD em algum momento, apesar de ser uma lei nova, ela já causou grande movimentação no mercado e a tendencia é que o movimento seja ainda maior. A pergunta que ouvimos com certa frequência é: “A LGPD é uma lei apenas para as grandes empresas, não? Sou uma pequena/média empresa, também preciso me adequar?” e bom, convidamos nosso departamento jurídico para nos ajudar a desmistificar essa dúvida, vamos a resposta.

Talvez por se enquadrar na categoria PME’s, você imagine que não precise ou que exista distinção de obrigações perante a LGPD, entretanto saiba que ela não faz distinção sobre a variação de portes de empresas, o que existe é uma possibilidade de flexibilização, principalmente quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como startups ou empresas de inovação, possam se adequar, conforme art 55-J, XVIII, vejamos:

“Art. 55-J – Compete à ANPD:

XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta”

Entretanto, independente das flexibilizações para os chamados “agentes de tratamento de pequeno porte”, os princípios e as hipóteses de tratamento da LGPD devem ser respeitados, uma vez as sanções não deixarão de serem aplicadas.

Classificação de PMEs

A classificação de uma PME está ligada diretamente a Lei Geral da Micro e Pequena Empresa, registrada como Lei Complementar n° 123/2006. Confira tabela abaixo:

 

 

O que acontece se minha PME não se adequar à LGPD?

Como já falamos, a LGDP não faz diferenciação do porte de empresa, e mesmo que a ANPD edite normas, orientações e procedimentos simplificados e diferenciados para as PMEs, as sanções irão ocorrer.

Vejamos abaixo as sanções:

Ok, por onde começo a adequação?

1º Passo – Entenda do seu negócio

Conheça bem o negócio e toda a sua atividade. É fundamental durante o processo de adequação desenvolver as estratégias de gestão para não ser pego de surpresa.

 

Passo 2 – Entenda os dados coletados pela empresa

É fundamental saber quais dados a empresa coleta e a real necessidade.

Para auxiliar nesse entendimento, responda as questionamento abaixo.

  • Quais são os dados que eu coleto? Preciso realmente coletar esse dado?
  • Quem são as pessoas? Menor de idade? Pessoa física ou jurídica?
  • Com base em hipótese legal estou realizando o tratamento? (para saber as hipóteses legais veja Art. 7 da Lei)
  • Onde os dados estão sendo armazenados? Armazenamento Físico ou Armazenamento Digital?
  • Por que e por quanto tempo os dados precisam ser guardados?
  • É possível anonimizá-lo?
  • Será transferido para país estrangeiro?

Esses questionamentos são essenciais e deve ser de ciência de todos os colaboradores afim de garantir o controle e proteção dos dados.

 

Passo 3 – Documentação e criação de políticas

Documentar diretrizes, normas, procedimentos e políticas é de extrema importância. Para quem já realiza esse processo só será necessário realizar alguns ajustes de acordo com os objetivos da LGPD, já para aqueles que não possuem, é necessário iniciar esse processo o quanto antes.

Sobre as políticas, não é obrigatório a elaboração de uma para cada tema, porém é necessário que a política criada estabeleça controles relacionados ao tratamento de dados pessoais, como cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e uso de antivírus.

 

Passo 4 – Conscientização e treinamento

Realizar a conscientização dos colaboradores sobre as suas obrigações e responsabilidades via treinamentos e campanhas, especialmente aqueles diretamente envolvidos na atividade de tratamento de dados é um passo muito importante, uma vez que as atividades humanas ainda são o principal foco quando falamos em vazamento de dados.

 

Passo 5 – Gerenciamento de contratos

É de suma importância que seja realizada ajustes nos contratos, incluindo clausulas de segurança da informação que assegurem a proteção de dados pessoais, como:

  • Regras para fornecedores e parceiros;
  • Regras sobre compartilhamentos;
  • Relações entre controlador-operador;
  • Orientações sobre o tratamento a ser realizado com vedação a tratamentos incompatíveis com as orientações do controlador; e
  • Clausula de confidencialidade

 

Passo 6 – Controle de acesso

Implementar um sistema de controle de acesso a todos os usuários, inserindo um adequado gerenciamento de senhas, proibindo o compartilhamento de contas e senhas, aplicando o princípio do menor privilégio e por fim, mas não menos importante, utilizar um múltiplo fator de autenticação para todas as contas.

 

Passo 7 – Programa de gerenciamento de vulnerabilidades

Com relação ao gerenciamento de vulnerabilidades, o principal ponto é o monitoramento da existência de novas versões e correções disponíveis em todos os sistemas e aplicativos., mantendo todos os sistemas e aplicativos em suas últimas versões e com todas as correções de segurança disponíveis instaladas.

 

E é isso, as medidas acima irão contribuir para estabelecer um ecossistema de proteção de dados pessoais mais seguro e deve ser entendido como um guia de boas práticas.

Quer contar com uma empresa especializa para te ajudar? Conte com a PDGIT para auxiliar na adequação da sua empresa.