LGPD: um guia de privacidade de dados para PMEs
Como cuidar do gerenciamento de dados dos seus clientes e implementar ferramentas adequadas ao novo regramento brasileiro
André Lopes
Publicado em 8 de fevereiro de 2022 às 21h42.
Última atualização em 8 de fevereiro de 2022 às 21h44.
*Por Tonimar Dal Aba
A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em agosto de 2020, tem apresentado um crescente desafio para muitas empresas que trabalham com clientes brasileiros, e a taxa de sanções por conta dessa regulamentação acelera globalmente. Embora a aplicação das multas tenha começado recentemente, a partir de 1ode agosto de 2021, caso não esteja em conformidade, agora é a hora de adequar o seu negócio de pequeno e médio porte à nova lei. No último dia 28 de janeiro,a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma resolução que aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. O objetivo do regulamento é trazer equilíbrio para a adaptação de PMEs, microempresas e startups às regras da LGPD, e ao mesmo tempo garantir os direitos dos titulares dos dados.
Diante disso, em conjunto com a ManageEngine, divisão de gerenciamento de TI da Zoho Corporation que lidero no Brasil, preparei um guia para a privacidade de dados em PMEs:
Entenda a LGPD
A GDPR(General Data Protection Regulation), irmã internacional da LGPD, é uma lei que abrange a União Europeia e foi implementada em 2018. Esse conjunto de normas é considerado referência, pois reúne as leis mais completas quando se trata de privacidade e segurança de dados - e serviu de base para a versão brasileira.
Problemas em grandes empresas atraem atenção proporcional ao seu porte e, consequentemente, existe maior chance de virar notícia. Para essas organizações, as sanções vão desde advertências até multas de R$50 milhões de reais ou 2% do faturamento para órgãos públicos e empresas físicas ou virtuais que descumprirem as normas de proteção de dados pessoais. Na Europa, as autoridades de supervisão de proteção de dados de toda a região emitiram quase 1.1 bilhões de euros em multas desde 28 de janeiro de 2021, de acordo com o escritório de advocacia internacional DLA Piper. Em relação a 2020, em que as sanções totalizaram cerca de 250 milhões de euros, o valor total aplicado às empresas foi consideravelmente maior. Ainda, as penalidades máximas podem chegar a 4% da receita anual mundial da empresa no ano fiscal anterior.
Para grande parte das pequenas empresas e startups, a adequação às normas da LGPD parece distante - mas ela está mais próxima do que imaginamos. A retroatividade das sanções pode tornar o não cumprimento um problema para as pequenas empresas e startups que apresentam um crescimento significativo. Por exemplo, o "cão de guarda da privacidade francês", como é chamado o agente regulador da França, investigou recentemente o aplicativo de transmissão de áudio Clubhouse que, apesar de na época ser uma empresa nova e pequena, estava em hipercrescimento. Os reguladores estão levando a conformidade a sério, multando até empresas não-digitais e de outros setores que não só o de tecnologia. No Brasil, a primeira empresa multada pela LGPD foi a construtora Cyrela, que apesar do grande porte, nos mostrou que a abrangência da lei é irrestrita ao ramo de atuação.
Para qualquer início de operação bem sucedido, é apenas uma questão de tempo até que um regulador LGDP venha bater na porta. E essa não conformidade pode impedir que as novas empresas façam negócios com organizações que lidam com clientes brasileiros, especialmente no que se refere ao mercado B2B (empresa para empresa). A LGPD responsabiliza as empresas pela verificação da conformidade de serviços de terceiros com a lei, algo que hoje é indispensável.
Mais importante ainda: as denúncias de infrações nesse sentido podem se tornar públicas, o que pode afetar seriamente a reputação de uma empresa, principalmente negócios na fase de construção de imagem. Embora a preocupação com a segurança dos dados tenha vindo inicialmente da regulamentação, os consumidores também estão se tornando cada vez mais exigentes - e com razão. Usando mais um exemplo global do poder das novas regulamentações, vimos grande repercussão de uma nova política de compartilhamento de dados no início de 2021 que levou dezenas de milhões de usuários a fugirem para a concorrência. A Apple entendeu a tendência e iniciou o programaApp Tracking Transparency(Transparência de Rastreamento de Aplicativos), dando a seus usuários a opção de ter seus dados rastreados ou não. O fato de 85% dos usuários da Apple terem optado por não rastrear mostra que os consumidores se preocupam com sua privacidade.
Por onde começar
Um Relatório de Impacto à Proteção de Dados (RIPD) é um bom ponto de partida para as empresas. Trata-se de um processo projetado para identificar e minimizar riscos associados ao processamento de dados pessoais. Neste caso, vale entender se a PME precisa realizar uma avaliação RIPD. Se você tiver um encarregado pela privacidade dos dados na equipe, pergunte-lhe sobre a avaliação. Donos de pequenos negócios também podem optar pela terceirização e solicitar uma avaliação para agências especializadas em conformidade com a privacidade dos dados. Se você decidir fazer a avaliação por conta própria, precisará examinar os regulamentos das regiões geográficas nas quais a sua empresa opera e, se estiver em dúvida, é melhor completar um RIPD.
Há inúmeros elementos relacionados aos dados que um RIPD pode cobrir. O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e garantia da segurança das informações, além da análise do controlador sobre medidas e mecanismos de mitigação de risco adotados. Uma regra básica é: quanto mais dados você tiver e mais sensíveis eles forem, mais perguntas e processos você deve colocar em prática.
Envolva toda a equipe no processo
A privacidade dos dados é um direito. Por isso, empresários devem explicar às suas equipes por que esse processo de adequação é tão importante e que não se trata apenas de estar em conformidade.
O envolvimento geral pode ser fomentado de diversas formas, entretanto, recomendo organizar uma reunião com toda a empresa na qual a liderança discute e explica o tópico de forma clara e objetiva, de forma que todos entendam como essa ação de conformidade é primordial. Outra forma válida e altamente adotada atualmente é contratar uma agência de conformidade de dados para cuidar do treinamento. Obter a adesão das equipes é extremamente importante - caso contrário, os funcionários podem ver estes esforços como algo supérfluo e o trabalho não será feito corretamente.
Implemente as ferramentas adequadas
Embora o campo de soluções de TI voltadas para a proteção de dados ainda seja relativamente inexplorado no Brasil, existem diversas ferramentas que podem facilitar a conformidade de companhias com a lei. Novas empresas, independentemente do porte, devem rastrear quais dados são coletados, como são utilizados e com quais serviços de terceiros elas compartilham dados pessoais.
Uma ferramenta pronta como o Desktop Central, que já está equipado com recursos como oDashboard DPO,quefunciona como um painel de controle para os responsáveis pela proteção de dados e foi desenvolvido exclusivamente para conformidade com tanto com a GDPR quanto com a LGPD, pode ser um bom ponto de partida para as organizações.
Ao escolher as ferramentas, os empreendedores devem ter uma ideia clara de suas necessidades para que possam escolher a solução certa para o trabalho. Uma empresa varejista, por exemplo, não terá as mesmas necessidades que uma empresa de saúde, da mesma forma que uma empresa local terá pilares diferentes de uma empresa que opera internacionalmente. Os regulamentos dependem muito da localização e do tipo de dados que estão sendo processados. Dica: seja específico e evite comprar ferramentas sofisticadas e caras se você tiver necessidades de baixa complexidade.
Além disso, os donos de empresas devem buscar ferramentas que possam ser integradas na sua infraestrutura atual ou no processo de desenvolvimento de produtos. Caso você esteja trabalhando com um CRM ou plataforma de suporte ao cliente, as soluções de curadoria de dados precisam se integrar perfeitamente aos processos existentes. A conformidade com a lei pode ser um tópico complicado e intimidador, e o não cumprimento pode ter sérias consequências. Por isso, é fundamental que proprietários de PMEs façam uma avaliação cuidadosa e compreendam suas necessidades para elaborar a estratégia e escolher as ferramentas corretas.
TI e jurídico devem andar juntos
No universo das startups, vemos a tendência de atribuição da responsabilidade de conformidade dos dados às equipes de TI. E, embora este seja um bom caminho, os times podem coletar, armazenar e manipular as informações dos usuários sem ter o conhecimento legal ou a experiência suficiente para lidar com plataformas sofisticadas.
Para evitar que isso ocorra, os responsáveis pelas PMEs devem dar atenção especial para a capacitação e compreensão das equipes de TI, para que no momento de implementar as ferramentas de conformidade, os colaboradores não tenham dúvidas em relação ao processo. Além disso, o ideal é que os proprietários escolham soluções que sejam de fácil desenvolvimento para automatizar a conformidade de forma otimizada.
A regularização não precisa ser um bicho de sete cabeças
A conformidade com a privacidade dos dados veio para ficar. Segundo informações daUnited Nations Conference on Trade and Development(UNCTD), organização intergovernamental ligada à ONU, 66% dos países no mundo possuem legislação relacionada a proteção de dados e privacidade e, com essa estimativa, estar em conformidade é uma tarefa cada vez mais urgente.
A "privacidade por padrão'' é um paradigma que as startups e empresas de pequeno porte devem adotar com antecedência. Se essa transição for bem automatizada e integrada na cultura da empresa, pode ser feita sem dor e até usada como argumento de venda para outras empresas e consumidores. Como a conformidade fiscal é uma obrigação, é a hora de as empresas seguirem um caminho semelhante para a privacidade dos dados.
* Tonimar Dal Aba é Technical Manager responsável pela operação da ManageEngine no Brasil e porta-voz local da empresa
*Por Tonimar Dal Aba
A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em agosto de 2020, tem apresentado um crescente desafio para muitas empresas que trabalham com clientes brasileiros, e a taxa de sanções por conta dessa regulamentação acelera globalmente. Embora a aplicação das multas tenha começado recentemente, a partir de 1ode agosto de 2021, caso não esteja em conformidade, agora é a hora de adequar o seu negócio de pequeno e médio porte à nova lei. No último dia 28 de janeiro,a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma resolução que aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. O objetivo do regulamento é trazer equilíbrio para a adaptação de PMEs, microempresas e startups às regras da LGPD, e ao mesmo tempo garantir os direitos dos titulares dos dados.
Diante disso, em conjunto com a ManageEngine, divisão de gerenciamento de TI da Zoho Corporation que lidero no Brasil, preparei um guia para a privacidade de dados em PMEs:
Entenda a LGPD
A GDPR(General Data Protection Regulation), irmã internacional da LGPD, é uma lei que abrange a União Europeia e foi implementada em 2018. Esse conjunto de normas é considerado referência, pois reúne as leis mais completas quando se trata de privacidade e segurança de dados - e serviu de base para a versão brasileira.
Problemas em grandes empresas atraem atenção proporcional ao seu porte e, consequentemente, existe maior chance de virar notícia. Para essas organizações, as sanções vão desde advertências até multas de R$50 milhões de reais ou 2% do faturamento para órgãos públicos e empresas físicas ou virtuais que descumprirem as normas de proteção de dados pessoais. Na Europa, as autoridades de supervisão de proteção de dados de toda a região emitiram quase 1.1 bilhões de euros em multas desde 28 de janeiro de 2021, de acordo com o escritório de advocacia internacional DLA Piper. Em relação a 2020, em que as sanções totalizaram cerca de 250 milhões de euros, o valor total aplicado às empresas foi consideravelmente maior. Ainda, as penalidades máximas podem chegar a 4% da receita anual mundial da empresa no ano fiscal anterior.
Para grande parte das pequenas empresas e startups, a adequação às normas da LGPD parece distante - mas ela está mais próxima do que imaginamos. A retroatividade das sanções pode tornar o não cumprimento um problema para as pequenas empresas e startups que apresentam um crescimento significativo. Por exemplo, o "cão de guarda da privacidade francês", como é chamado o agente regulador da França, investigou recentemente o aplicativo de transmissão de áudio Clubhouse que, apesar de na época ser uma empresa nova e pequena, estava em hipercrescimento. Os reguladores estão levando a conformidade a sério, multando até empresas não-digitais e de outros setores que não só o de tecnologia. No Brasil, a primeira empresa multada pela LGPD foi a construtora Cyrela, que apesar do grande porte, nos mostrou que a abrangência da lei é irrestrita ao ramo de atuação.
Para qualquer início de operação bem sucedido, é apenas uma questão de tempo até que um regulador LGDP venha bater na porta. E essa não conformidade pode impedir que as novas empresas façam negócios com organizações que lidam com clientes brasileiros, especialmente no que se refere ao mercado B2B (empresa para empresa). A LGPD responsabiliza as empresas pela verificação da conformidade de serviços de terceiros com a lei, algo que hoje é indispensável.
Mais importante ainda: as denúncias de infrações nesse sentido podem se tornar públicas, o que pode afetar seriamente a reputação de uma empresa, principalmente negócios na fase de construção de imagem. Embora a preocupação com a segurança dos dados tenha vindo inicialmente da regulamentação, os consumidores também estão se tornando cada vez mais exigentes - e com razão. Usando mais um exemplo global do poder das novas regulamentações, vimos grande repercussão de uma nova política de compartilhamento de dados no início de 2021 que levou dezenas de milhões de usuários a fugirem para a concorrência. A Apple entendeu a tendência e iniciou o programaApp Tracking Transparency(Transparência de Rastreamento de Aplicativos), dando a seus usuários a opção de ter seus dados rastreados ou não. O fato de 85% dos usuários da Apple terem optado por não rastrear mostra que os consumidores se preocupam com sua privacidade.
Por onde começar
Um Relatório de Impacto à Proteção de Dados (RIPD) é um bom ponto de partida para as empresas. Trata-se de um processo projetado para identificar e minimizar riscos associados ao processamento de dados pessoais. Neste caso, vale entender se a PME precisa realizar uma avaliação RIPD. Se você tiver um encarregado pela privacidade dos dados na equipe, pergunte-lhe sobre a avaliação. Donos de pequenos negócios também podem optar pela terceirização e solicitar uma avaliação para agências especializadas em conformidade com a privacidade dos dados. Se você decidir fazer a avaliação por conta própria, precisará examinar os regulamentos das regiões geográficas nas quais a sua empresa opera e, se estiver em dúvida, é melhor completar um RIPD.
Há inúmeros elementos relacionados aos dados que um RIPD pode cobrir. O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e garantia da segurança das informações, além da análise do controlador sobre medidas e mecanismos de mitigação de risco adotados. Uma regra básica é: quanto mais dados você tiver e mais sensíveis eles forem, mais perguntas e processos você deve colocar em prática.
Envolva toda a equipe no processo
A privacidade dos dados é um direito. Por isso, empresários devem explicar às suas equipes por que esse processo de adequação é tão importante e que não se trata apenas de estar em conformidade.
O envolvimento geral pode ser fomentado de diversas formas, entretanto, recomendo organizar uma reunião com toda a empresa na qual a liderança discute e explica o tópico de forma clara e objetiva, de forma que todos entendam como essa ação de conformidade é primordial. Outra forma válida e altamente adotada atualmente é contratar uma agência de conformidade de dados para cuidar do treinamento. Obter a adesão das equipes é extremamente importante - caso contrário, os funcionários podem ver estes esforços como algo supérfluo e o trabalho não será feito corretamente.
Implemente as ferramentas adequadas
Embora o campo de soluções de TI voltadas para a proteção de dados ainda seja relativamente inexplorado no Brasil, existem diversas ferramentas que podem facilitar a conformidade de companhias com a lei. Novas empresas, independentemente do porte, devem rastrear quais dados são coletados, como são utilizados e com quais serviços de terceiros elas compartilham dados pessoais.
Uma ferramenta pronta como o Desktop Central, que já está equipado com recursos como oDashboard DPO,quefunciona como um painel de controle para os responsáveis pela proteção de dados e foi desenvolvido exclusivamente para conformidade com tanto com a GDPR quanto com a LGPD, pode ser um bom ponto de partida para as organizações.
Ao escolher as ferramentas, os empreendedores devem ter uma ideia clara de suas necessidades para que possam escolher a solução certa para o trabalho. Uma empresa varejista, por exemplo, não terá as mesmas necessidades que uma empresa de saúde, da mesma forma que uma empresa local terá pilares diferentes de uma empresa que opera internacionalmente. Os regulamentos dependem muito da localização e do tipo de dados que estão sendo processados. Dica: seja específico e evite comprar ferramentas sofisticadas e caras se você tiver necessidades de baixa complexidade.
Além disso, os donos de empresas devem buscar ferramentas que possam ser integradas na sua infraestrutura atual ou no processo de desenvolvimento de produtos. Caso você esteja trabalhando com um CRM ou plataforma de suporte ao cliente, as soluções de curadoria de dados precisam se integrar perfeitamente aos processos existentes. A conformidade com a lei pode ser um tópico complicado e intimidador, e o não cumprimento pode ter sérias consequências. Por isso, é fundamental que proprietários de PMEs façam uma avaliação cuidadosa e compreendam suas necessidades para elaborar a estratégia e escolher as ferramentas corretas.
TI e jurídico devem andar juntos
No universo das startups, vemos a tendência de atribuição da responsabilidade de conformidade dos dados às equipes de TI. E, embora este seja um bom caminho, os times podem coletar, armazenar e manipular as informações dos usuários sem ter o conhecimento legal ou a experiência suficiente para lidar com plataformas sofisticadas.
Para evitar que isso ocorra, os responsáveis pelas PMEs devem dar atenção especial para a capacitação e compreensão das equipes de TI, para que no momento de implementar as ferramentas de conformidade, os colaboradores não tenham dúvidas em relação ao processo. Além disso, o ideal é que os proprietários escolham soluções que sejam de fácil desenvolvimento para automatizar a conformidade de forma otimizada.
A regularização não precisa ser um bicho de sete cabeças
A conformidade com a privacidade dos dados veio para ficar. Segundo informações daUnited Nations Conference on Trade and Development(UNCTD), organização intergovernamental ligada à ONU, 66% dos países no mundo possuem legislação relacionada a proteção de dados e privacidade e, com essa estimativa, estar em conformidade é uma tarefa cada vez mais urgente.
A "privacidade por padrão'' é um paradigma que as startups e empresas de pequeno porte devem adotar com antecedência. Se essa transição for bem automatizada e integrada na cultura da empresa, pode ser feita sem dor e até usada como argumento de venda para outras empresas e consumidores. Como a conformidade fiscal é uma obrigação, é a hora de as empresas seguirem um caminho semelhante para a privacidade dos dados.
* Tonimar Dal Aba é Technical Manager responsável pela operação da ManageEngine no Brasil e porta-voz local da empresa