LGPD: novo cenário para empresas de pequeno porte
Decisão da ANPD facilita adequação de pequenos e facilita cumprimento de obrigações, mas desafios ainda existem
A vida das empresas de pequeno porte vai mudar. Como já ocorre com organizações maiores, desde 2020, elas também terão que se adequar à Lei Geral de Proteção de Dados (LGPD). No dia 28 de janeiro, foi publicada no Diário Oficial da União a resolução aprovada quatro dias antes pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) para agentes de tratamento de pequeno porte — micro e pequenas empresas, startups, pessoas jurídicas de direito privado sem fins lucrativos e pessoas físicas informais que realizam tratamento de dados pessoais. O objetivo é facilitar essa adequação e o cumprimento das obrigações nela previstas.
À primeira vista, essa mudança pode parecer mais uma dor de cabeça, mas na verdade não é. Pelo contrário. Trará aperfeiçoamento para a gestão e reconhecimento pelo mercado. A adequação à LGPD representa também grandes oportunidades de manutenção e crescimento dos negócios de pequeno porte. Isso porque a LGPD garante transparência.
Se eu, como cliente e titular dos meus dados, contrato determinado serviço, é só o serviço que quero receber da empresa contratada. Nada mais, nada menos. Quem nunca se deparou com a contratação de um prestador de serviço e, em pouco tempo, começa a receber anúncios de diversos produtos? “Poxa! Eu só queria o o produto que contratei!”, você pensa.
Saber o exato uso de seus dados é transparência. Hoje, essa característica é uma das mais valorizadas pelo mercado. É de enorme importância para essas empresas de pequeno porte conseguir ser transparentes.
Mais do que flexibilizar, a nova resolução torna a LGPD mais clara. Em sua primeira versão de 2018, a lei já contemplava as pequenas empresas. As regras estavam lá, e eram válidas para todos, mas como os pequenos se adequariam a elas? Por exemplo, um dos termos da LGPD original aborda as empresas que realizam tratamento de alto risco aos titulares — na lei não está claro o que é esse alto risco, mas na resolução mais recente isso está mais claro.
Basicamente, a resolução traz dois aspectos: um geral e outro específico. O aspecto geral é em relação à quantidade: a empresa que lida com muitos dados assume um alto risco. Mas existem empresas assim que são pequenas e que não possuem um faturamento tão alto. Daí entra o aspecto específico, que remete ao uso de tecnologias emergentes, como a Amazon Alexa ou as câmeras de identificação facial nas estações de metrô, que armazenam uma imensa quantidade de dados pessoais e dados sensíveis.
A ANPD deverá divulgar seus modelos de documentos que podem auxiliar ou orientar as pequenas empresas no compliance com a legislação. Por enquanto, os critérios de como serão feitos ainda não estão sendo desenvolvidos, mas por que não já ficar de olho no que está sendo feito agora no mercado onde você atua? Mesmo que peque pelo excesso, é sempre melhor do que ficar parado. Eu recomendo, por exemplo, que se faça uma espécie de mapeamento geral do que vem sendo estabelecido como melhores práticas no mercado, e se estude o que os outros estão fazendo para ter no que se basear.
É extremamente importante ter a consciência de que a proteção de dados é uma garantia de um direito fundamental dos nossos clientes. Recentemente, isso até virou uma cláusula-pétrea na Constituição Federal; ou seja, a garantia de privacidade é hoje uma questão constitucional.
Agora, mais do que nunca, é essencial buscar se envolver no assunto. Não como uma fonte de problemas, mas como uma oportunidade.
O exemplo que hoje melhor demonstra o valor que os consumidores dão para a segurança dos seus dados é a propaganda que o Itaú fez para falar especificamente dessa questão: o Top Itaú. Como ficou a imagem do banco depois dessa campanha? De uma instituição que se preocupa com seus clientes, que tem credibilidade e sabe cuidar de milhares de milhões de dados.
Com isso em vista, uma empresa de pequeno porte pode se fazer a pergunta: como eu, em menor escala e no meu cenário, posso fazer da segurança de dados o meu diferencial? Aqueles que já se questionam e enxergam a questão da LGPD como uma oportunidade, estão de fato construindo algo sólido e agregador para seu negócio. O intuito da resolução é trazer tal clareza.
Agora que o cenário está iluminado, o próximo passo cabe às próprias empresas e acompanhar a ANPD é um ótimo começo. Ali estão disponíveis os guias, as orientações e, através deste canal, dá para chegar mais rapidamente em especialistas de suas próprias áreas. Já a Associação Nacional dos Profissionais de Proteção de Dados (ANPPD) é basicamente um fórum aberto. Lá, também é possível acompanhar eventos, cursos gratuitos e atualizações gerais.
Como vimos, não há desculpa para não começar a caminhar rumo à adequação da sua empresa. Os reguladores estão fazendo a parte deles. Agora, façamos a nossa parte.
* Marcelo Lopes é Gerente de Segurança da Informação em Take Blip