Como pequenas e médias empresas serão impactadas pela LGPD?

Como pequenas e médias empresas serão impactadas pela LGPD?
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Com a publicação da Lei Geral de Proteção de Dados Pessoais, em 2018, as empresas de todo o Brasil iniciaram um processo de adequação às suas diretrizes. Contudo, esse movimento tem se mostrado mais limitado entre as pequenas e médias empresas.

Isso se deve, entre outros motivos, à falta de um programa de segurança da informação estruturado em pequenas e médias empresas, ou ainda políticas de segurança que possam auxiliar seus colaboradores a conhecerem e agirem em conformidade com a lei.

O que são pequenas e médias empresas?

PMEs, ou pequenas e médias empresas, como o nome sugere, são negócios de porte reduzido em faturamento e também em número de funcionários.

As empresas de pequeno porte são aquelas que faturam entre R$ 360 mil e R$ 4,8 milhões por ano. Já as empresas de médio porte tem faturamento anual entre R$ 4,8 milhões e R$ 300 milhões.

As pequenas e médias empresas são consideradas a espinha dorsal da economia do Brasil, uma vez que, dentre o total de empreendimentos no país, essas correspondem à esmagadora maioria.

Segundo dados do Sebrae, dos 20 milhões de empreendimentos registrados no Brasil, 70% são pequenos negócios. Essa porcentagem corresponde a cerca de 13,5 milhões de empresas.

Quando se trata do setor do comércio, por exemplo, segundo o estudo realizado pela Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP), 96,3% das empresas do setor são de pequeno e médio porte.

Além disso, as PMEs também atuam como a maior fonte de renda e emprego para a população brasileira. Falando ainda do setor do comércio, as pequenas e médias empresas são responsáveis por 53,5% dos empregos.

Portanto, não há dúvidas de que as PMEs são fundamentais para o desenvolvimento do país. No entanto, quando se trata da corrida para a adequação à Lei Geral de Proteção de Dados, essas empresas encontram-se em desvantagem.

Isso porque, se comparada às grandes organizações, as PMEs têm muito menos recursos e orçamento.

O que é a Lei Geral de Proteção de Dados?

Mas, afinal, do que se trata a Lei Geral de Proteção de Dados?

A Lei nº 13.709/2018, ou ainda LGPD, sigla para Lei Geral de Proteção de Dados Pessoais, é a legislação que regulamenta o tratamento de dados por pessoas físicas e jurídicas de direito público e privado no Brasil.

Ela foi inspirada no GDPR, sigla em inglês para Regulamento Geral Sobre Proteção de Dados, legislação criada pela União Europeia para o mesmo fim.

A LGPD foi publicada em 2018 e sua vigência teve início em setembro de 2020, sendo que as sanções administrativas, ou seja, aquelas previstas pela lei, serão impostas a partir de agosto de 2021.

O início da vigência tem pressionado as empresas de todos os portes a adequação às suas diretrizes, a fim de evitar não só as penalidades previstas em lei pelo seu descumprimento, mas também eventuais processos judiciais e administrativos.

As principais diretrizes da LGPD versam sobre:

  • proteção da privacidade dos titulares dos dados pessoais;
  • maior controle dos titulares sobre seus dados;
  • barrar a coleta de dados pelas empresas sem que haja autorização do titular ou outro motivo legal;
  • punição das empresas que cometem algum tipo de abuso sobre o tratamento de dados.

Mas como saber se a lei se aplica à sua empresa?

Na verdade é bem simples: a lei brasileira de proteção de dados serve para toda empresa que coleta ou rastreia dados pessoais de um indivíduo brasileiro.

Vale dizer ainda que a legislação define “dados pessoais” como toda e qualquer informação que esteja relacionada a uma pessoa física identificada ou identificável.

Isso quer dizer que toda informação capaz de revelar a identidade de um indivíduo é considerada um dado pessoal. Isso inclui, por exemplo:

  • nome, data de nascimento e outras informações pessoais;
  • fotos ou vídeos;
  • informações sobre religião, sexo, origem racial ou étnica, opinião política, e outras, também chamadas de dados pessoais sensíveis;
  • documentos e formulários;
  • endereço IP etc;

Qual é o impacto da LGPD para as pequenas e médias empresas?

Qual é o impacto da LGPD para as pequenas e médias empresas?

Com o início da vigência da LGPD, seus impactos começam a ser sentidos pelas empresas de todos os portes. Em especial no que se refere a aplicação da LGPD para pequenas e médias empresas.

O principal ponto para essas empresas é a falta de conhecimento da lei e suas aplicações, bem como do seu enquadramento à sua atividade empresarial.

De acordo com uma pesquisa realizada pela ICTS Protiviti, consultoria de gestão de riscos e compliance, dentre as 104 empresas participantes do estudo, 58,3% não iniciaram as ações necessárias para a adequação à LGPD.

A pesquisa ainda indica que, dentre as exigências estabelecidas pela lei, a que menos é atendida, especialmente pelas pequenas empresas, é o mapeamento de dados pessoais e sensíveis.

O que pode justificar isso é o fato de que cerca de 71,8% das empresas avaliadas não possuem domínio sobre as informações sigilosas e sensíveis de seus clientes.

O mesmo número de empresas também não possui um programa de segurança da informação bem estruturado. Além disso, 75% não têm políticas de segurança implementadas.

Por fim, o estudo indicou, ainda, que 85% das micro e pequenas empresas participantes não capacitaram seus colaboradores para lidarem com a nova lei.

Dessa forma, a pesquisa mostra que, se por um lado parte dos empresários nem ao menos sabe da existência da lei, outra parte, que sabe, não tem ideia por onde começar essa adequação.

O impacto da LGPD em pequenas empresas pode ser ainda maior se comparado às grandes organizações, uma vez que uma das mais rigorosas sanções para o descumprimento da lei é uma multa que pode chegar a 2% do faturamento ou R$ 50 milhões.

A LGPD se aplica às PMEs de maneira diferente das grandes companhias?

Quando se trata da LGPD para empresas de médio e pequeno porte, no entanto, uma multa de R$ 50 milhões é inconcebível. Afinal, o lucro máximo de uma empresa de pequeno porte é de R$ 4,8 milhões por ano.

Por isso, vale mencionar que, mesmo que as PMEs estejam sujeitas a todas as sanções dispostas em lei, existe uma gradação de pena, que vai de advertências até sanções monetárias proporcionais.

A fiscalização da observância dos dispositivos da LGPD, bem como a aplicação das sanções, estará a cargo da Autoridade Nacional de Proteção de Dados (ANPD).

Outra obrigatoriedade prevista em lei que deve ser avaliada pela ANPD é a nomeação do Encarregado.

Inspirado na figura do DPO (Data Protection Officer), do GDPR, o Encarregado é o profissional indicado pela empresa para atuar como porta-voz entre a empresa e a ANPD e entre a empresa e o titular dos dados.

Além disso, também cabe a este profissional orientar os colaboradores e responsáveis pelo tratamento de dados sobre a melhor forma de praticar essa atividade, em observância à lei.

A LGPD para PMEs não dispensa a indicação do Encarregado por essas empresas.

Isso vale especialmente para empresas que lidam com grande quantidade de informações pessoais, uma vez que a atuação do Encarregado torna as atividades de tratamento mais seguras e diligentes.

Contudo, vale mencionar que a ANPD ainda pode atribuir a este profissional outras obrigações futuramente. Bem como definir a necessidade de sua indicação, de acordo com o porte ou o volume de operações de tratamento realizados pela empresa.

Como pequenas e médias empresas devem se preparar para a LGPD?

Como vimos, fazer com que sua PME esteja no caminho da conformidade com a LGPD é essencial. O primeiro passo para isso é conhecer a lei com propriedade, bem como entender como ela se aplica ao seu negócio.

Se você está buscando esse conhecimento de uma maneira mais dinâmica e simples, um curso pode ser o ideal para o seu caso.

O curso Privacy and Data Protection Essentials (PDPE), por exemplo, fornece o conhecimento necessário sobre a organização da proteção de dados pessoais, bem como os principais pontos da lei brasileira.

Além disso, também prepara o profissional para tirar sua certificação, válida para todos os países com legislação semelhante à LGPD.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials! 

Passos para a implementação da LGPD

Para auxiliar no processo de implementação da Lei Geral de Proteção de Dados para pequenas e médias empresas, listamos alguns passos essenciais.

  1. Criação de um corpo técnico: diz respeito à nomeação de funcionários responsáveis pela organização do material relativo a dados;
  2. Fazer o inventário dos dados pessoais: é o mapeamento de todos os dados pessoais tratados pela empresa, incluindo finalidades, bases legais, origem, local de armazenamento, etc.
  3. Nomeação do Encarregado ou DPO;
  4. Política de privacidade: estabelecimento de uma política de privacidade sobre tratamento de dados, que deve ser divulgada e seguida, contando com o apoio da alta administração;
  5. Documentação: trata da reunião de toda documentação relacionada a dados pessoais, como dados de empregados, fornecedores, clientes etc. Toda documentação deve estar organizada e classificada, a fim de que todas as atividades estejam devidamente registradas;
  6. Governança de dados: inclui mapear a origem e finalidades para as quais os dados foram coletados, bem como revisão das políticas de privacidade e verificação da rastreabilidade dos processos de tratamentos de dados;
  7. Segurança das informações: tem como finalidade assegurar a integridade e segurança do banco de dados. Inclui a implementação de medidas para a proteção dos dados pessoais e acessos não autorizados, além de condições acidentais ou ilícitas de destruição, perda, alteração, ou difusão imprópria dos dados;
  8. Atendimento aos direitos dos titulares: isto é, garantir que o titular dos dados possa exercer todos os direitos previstos em lei.

Todos esses cuidados já auxiliam no processo de implementação da LGPD em pequenas e médias empresas.

Carla Batistella
Carla Batistella
Carla Batistella é formada em Redes de computadores e MBA em gestão de projetos pela FGV, atua há 18 anos com tecnologia da informação, sendo os últimos cinco anos com projetos de compliance de segurança da informação. Estuda Privacidade e Proteção de Dados há algum tempo e é DPO EXIN. Atua em diversos projetos, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD.

relacionadas