Publicado em
Saiba como as novas regras, que impedem o uso indiscriminado dos dados de clientes, impactam as pequenas e médias empresas.
Com o avanço das tecnologias digitais, do mobile, e com um número cada vez maior de pessoas, sensores e aparelhos conectados, veio também o crescimento de fraudes, hacks, roubos de identidade e vazamentos de dados.
Escândalos como o da Cambridge Analytica – empresa que cruzou dados pessoais de milhões de usuários do Facebook sem autorização, para lhes bombardear conteúdo falso e personalizado, com o objetivo de influenciar resultados de eleições – acenderam o alarme sobre os efeitos nocivos do mau uso desses dados.
Nesse cenário, vários países têm criado leis para regular a coleta e o processamento de dados pessoais e evitar violações à privacidade. Em maio de 2018, entrou em vigor na União Européia a General Data Protection Regulation (GDPR) e em agosto do mesmo ano, foi sancionada no Brasil a Lei Geral de Proteção de Dados (LGPD), que estabeleceu um prazo até agosto de 2020 para que suas medidas entrem em vigor.
Quase um ano depois, em julho deste ano, foi sancionada a lei que cria a Autoridade Nacional de Proteção de Dados (ANPD), órgão que deverá fiscalizar a aplicação da LGPD no país e definir regulamentações específicas.
Mas qual o real impacto prático da LGPD para os pequenos e médios negócios? Devo dizer que não é pequeno. Isso porque toda empresa coleta e guarda dados pessoais, desde o CPF, endereço e dados bancários dos funcionários até uma lista de telefones e e-mails do cadastro de clientes.
Tudo isso é considerado dado de identificação pessoal e deve ser tratado nos termos da lei, que determina uma série de processos que precisarão ser seguidos.
A LGPD se aplica apenas a empresas de tecnologia?
Não. Toda empresa de qualquer setor e tamanho que colete ou armazene dados pessoais está sujeita à LGPD e deverá cumpri-la. Da farmácia que pede um CPF para dar um desconto no medicamento, ao condomínio que cadastra seus visitantes, todos serão impactados. É possível que a ANPD estabeleça regras diferentes para certos setores ou tamanhos de empresas no futuro, mas isso ainda não está definido.
Quais tipos de dados são considerados pela LGPD?
São considerados dados de identificação pessoal, como nome, e-mail, CPF, telefone e endereço, entre outros, bem como dados identificáveis, ou seja, dados que mesmo que não identifiquem uma pessoa diretamente, possam revelar sua identidade quando cruzados com outros dados disponíveis.
Há ainda os chamados dados sensíveis como aqueles relacionados a condições de saúde, preferências religiosas, políticas, comportamento sexual, além de dados biométricos. Estes devem ter especial atenção à sua guarda e segurança.
O que será preciso fazer com esses dados para cumprir a lei?
A partir de agosto de 2020, toda empresa que coletar informações pessoais precisará ter uma base legal para isso. A mais discutida delas é o consentimento.
Ou seja, será preciso informar às pessoas para quais finalidades os dados serão utilizados e solicitar sua autorização prévia para a coleta, garantindo a elas o direito de optar por não informá-los. Deverá ser garantido também o direito ao esquecimento, que consiste em apagar todos os dados de uma pessoa quando solicitado por ela.
No caso de dados de crianças e adolescentes, será necessário o consentimento explícito dos pais ou responsáveis.
As empresas deverão ainda zelar pela segurança e proteção desses dados, utilizando sistemas seguros e adotando de forma proativa, práticas e processos baseados nas melhores práticas disponíveis para tanto. Devem dispor ainda de planos de contingência e gestão de crise a serem acionados no caso de vazamentos de dados e designar uma pessoa responsável por essas ações, profissional que ficou conhecido como DPO (Data Protection Officer).
Todo dado pessoal precisará ter o consentimento das pessoas para ser armazenado?
Não. A lei prevê outras bases legais, como o Legítimo Interesse. Por exemplo, garantir a segurança de um edifício pode ser de legítimo interesse do seu condomínio, que nesse caso, não precisaria do consentimento das pessoas que circulam por ali para capturar imagens de câmeras de segurança.
Ainda assim, esses dados, uma vez armazenados, devem ser tratados como dados pessoais e tratados com zelo, conforme determina a lei. Isso inclui a comunicação transparente, com placas informando sobre a coleta das imagens e sua finalidade, armazenamento seguro, e eliminação das mesmas após o fim do período de retenção legal.
Dentre outras das bases legais, estão a necessidade do cumprimento de obrigações legais, de políticas públicas, realização de estudos por órgãos de pesquisa, cumprimento de direitos em contrato, prevenção de fraudes contra o titular do dado e preservação de segurança e direito à vida.
Por exemplo, um empregador precisa coletar dados pessoais de seus empregados para recolher taxas e impostos como determina a legislação.
O que acontece se uma empresa descumprir a lei?
As empresas que descumprirem a lei podem ser autuadas e multadas em até 2% do seu faturamento bruto ou R$ 50 milhões por infração.
Como as pequenas e médias empresas devem fazer para estar de acordo com a lei?
É importante mapear as áreas que tocam dados pessoais dos clientes e melhorar a gestão desses dados. Vale também refletir se a empresa realmente precisa de tudo o que está sendo coletado. A coleta de dados sensíveis deve ser evitada ao máximo.
Está surgindo um mercado de empresas de consultoria e sistemas especializados, que podem ser contratadas para auxiliar nesses processos – o que é também uma oportunidade para novas startups e empreendedores. As empresas fornecedoras de sistemas de gestão e marketing também estão se adaptando.
Por exemplo, os sistemas de e-mail marketing estão passando a incluir o controle de consentimento, finalidades, bem como o registro base legal pra que aquele dado seja guardado, assim como oferecendo meios para que os clientes solicitem que seus dados sejam apagados. Na prática, será importante verificar se seus fornecedores e parceiros estão em conformidade com a lei e eventualmente trocar processos antigos, como manter o cadastro de clientes numa planilha em alguma pasta no computador, por um sistema online para esse fim, que já tenha implementadas políticas de segurança e gestão conforme a legislação.
Outro ponto importante é em relação ao DPO. Contratar um profissional apenas para essa função é o ideal, mas pode ser dispendioso para os pequenos negócios, o que deve fazer com que em muitos casos, um gestor ou sócio da empresa acumule essa função. Embora isso não seja vedado pela lei, pode levantar potenciais conflitos de interesse e é esperado que a ANPD traga mais clareza sobre essa questão.
O uso de dados é um caminho sem volta. Se por um lado, a adequação à lei implicará em custos e novos processos por parte das empresas, por outro, ela traz mais transparência aos negócios, estabelece regras básicas para o jogo e assegura o direito à privacidade para as pessoas, o que é muito positivo. Mais do que nunca, as empresas deverão operar tendo transparência com seus clientes, fornecedores e parceiros como pilar fundamental.
Fonte: Pequenas Empresas e Grandes Negócios.
Fonte da Imagem: FreePik