LGPD: 5 principais desafios para pequenas empresas
O processo de se manter em conformidade com a LGPD (Lei Geral de Proteção de Dados) traz desafios específicos para as pequenas empresas. Aliás, como a lei afeta diferentes práticas que fazem parte do dia a dia das companhias, simplesmente saber por onde começar já é desafiador.
Para tentar clarificar esse processo, nós vamos falar mais sobre os cinco principais desafios da LGPD para as pequenas empresas. Confira!
Confira neste artigo!
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
1. Entender as regras diferenciadas da LGPD para pequenas empresas
Algumas regras da LGPD foram flexibilizadas para pequenas empresas e startups. A mudança veio por meio de uma resolução da ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por regulamentar e fiscalizar o cumprimento da lei.
Nós fizemos um post completo sobre as regras mais flexíveis, mas vale destacar que um dos principais pontos diz respeito ao DPO (Data Protection Officer). Antes obrigatório para todas as empresas, o cargo agora é opcional para os pequenos negócios.
A essência da lei, no entanto, continua a mesma para qualquer empresa. Negócios de pequeno porte devem continuar levando em consideração pontos como:
- Definição de uma base legal para o tratamento de dados;
- Respeito a todos os princípios da lei;
- Medidas de proteção dos dados;
- Cumprimento dos direitos dos titulares.
Portanto, um desafio para os pequenos negócios é entender em detalhes o que mudou, sem perder de vista que a conformidade com a legislação como um todo é sempre obrigatória.
2. Definir os processos que precisam ser ajustados
Entender como o negócio lida com dados pessoais e o que precisa ser adequado não é tarefa simples. O primeiro passo é fazer um mapeamento geral de todas as atividades que envolvam dados pessoais.
Isso é fundamental porque todo tratamento de dados dentro da empresa entra sob o escopo da LGPD, incluindo:
- Coleta de dados de potenciais clientes para prospecção e marketing;
- Uso de informações de clientes para contratos;
- Armazenamento de dados de funcionários;
- Uso de cookies no site que permitem identificar endereços de IP;
- Compartilhamento de dados pessoais com terceiros.
É preciso identificar a finalidade de cada tratamento e qual a base legal que o justifica, reduzindo riscos e eliminando tudo que for desnecessário. Nem todo processo terá a mesma finalidade ou justificativa, por isso é importante contar com uma assessoria especializada para esse mapeamento.
3. Saber como lidar com os requerimentos dos titulares de dados
Um dos objetivos da LGPD é dar mais controle ao titular (o verdadeiro “dono” da informação) sobre como os seus dados são utilizados. Por isso, a lei prevê também uma série de direitos ao titular.
Mesmo com regras mais flexíveis, as pequenas empresas devem respeitar e cumprir todos os direitos previstos na lei.
Na prática, o primeiro passo é criar um canal de comunicação para que o titular possa entrar em contato para falar sobre o uso de seus dados pessoais. Por meio desse canal, o titular pode solicitar informações, fazer reclamações e exigir o cumprimento dos seus direitos.
De maneira geral, essa comunicação é intermediada pelo DPO, mas a existência desse cargo não é obrigatória nas pequenas empresas.
As pequenas empresas e startups, mesmo as que realizam tratamento de alto risco, podem organizar-se para negociação, mediação e conciliação de reclamações dos titulares por meio de entidades de representação (como sindicatos) e por pessoas jurídicas ou naturais (pessoa física).
Independentemente do canal de comunicação escolhido, depois que o contato é recebido é importante que a empresa tenha um processo para avaliar a solicitação e respondê-la dentro dos prazos previstos em lei.
4. Implantar medidas de segurança da informação
Não investir em Segurança da Informação é um erro que pode custar caro. O desafio é identificar e implantar medidas que sejam coerentes com as necessidades do negócio.
A Segurança da Informação é um dos princípios da LGPD e, assim, é um requisito para estar em conformidade com a lei.
Além disso, a adoção de medidas de proteção de dados pode contar pontos a favor da empresa na hora da ANPD avaliar a aplicação de sanções – por exemplo, caso ocorra um incidente de segurança envolvendo dados pessoais.
Para determinar as medidas de proteção de dados mais adequadas para o negócio, é preciso avaliar diversos fatores, como:
- O perfil da empresa e os riscos aos quais está exposta;
- O potencial custo de um incidente, como um vazamento de dados;
- As ações e ferramentas mais efetivas considerando a análise de risco.
Uma consultoria especializada em Segurança da Informação, como a da Get Privacy, ajuda sua empresa a definir as melhores opções dentro da sua realidade.
5. Manter a conformidade com a LGPD ao longo do tempo
A empresa mapeou todos os processos de tratamento de dados, adequou o que precisava ser adequado, implantou medidas de segurança e criou formas de atender os direitos dos titulares. E agora?
Agora vem um dos maiores desafios: manter a conformidade com a LGPD ao longo do tempo, depois da adequação inicial.
A conformidade com a LGPD é uma demanda contínua. Depois de finalizar as etapas iniciais da adequação, é preciso manter o projeto de proteção de dados e estar preparado para fiscalizações e novas regulamentações.
Isso só é possível com treinamento de equipe e um alinhamento do time em torno da proteção de dados. Quando for preciso criar novos processos que envolvam dados pessoais, por exemplo, a equipe já saberá como fazê-lo de forma adequada à LGPD.
É importante também que ao menos uma pessoa fique responsável por monitorar novas regulamentações. Em geral, esse papel é do DPO. Caso a empresa opte por não indicar alguém para o cargo, idealmente deve ao menos apontar uma outra pessoa para se manter atenta a possíveis novas regras.
Obtenha ajuda de especialistas em LGPD
A Get Privacy ajuda pequenas e médias empresas a se adequarem à LGPD de forma prática e assertiva. Conte com a nossa equipe especializada em proteção de dados para evitar multas e ações judiciais.
CONFIRA
OUTROS POSTS