10 dúvidas mais comuns sobre LGPD nas pequenas empresas

Pessoas conversando sobre a LGPD para pequenas empresas.

A Lei Geral de Proteção de Dados (LGPD) impacta a forma como todas as empresas, independente do porte, lidam com dados pessoais. No caso das pequenas e médias empresas, é comum haver dúvidas a respeito das implicações práticas da lei e do que deve ser feito para garantir a conformidade.

Para ajudar os pequenos negócios a avaliarem a melhor maneira de lidar com a adequação à LGPD, nós decidimos preparar este artigo elucidando algumas questões frequentes.

Confira abaixo as 10 dúvidas mais comuns sobre LGPD nas pequenas empresas.

Confira neste artigo!

Precisa se adequar à LGPD?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.

LGPD para pequenas empresas

1. Quais são as medidas básicas que a empresa deve adotar para estar em conformidade com a LGPD?

Embora a LGPD seja uma legislação complexa, há algumas medidas básicas que as pequenas e médias empresas podem adotar para encaminhar a conformidade com a lei.

As principais são:

  • Garantir que o tratamento de dados pessoais esteja enquadrado em uma das dez bases legais da LGPD, que são as hipóteses que autorizam o tratamento de dados (como o consentimento do titular, por exemplo);
  • Respeitar os princípios da LGPD;
  • Informar ao titular qual é a finalidade do tratamento e não usar o dado pessoal para outra finalidade que não seja a informada;
  • Garantir que os dados sejam armazenados de forma segura, com proteção mínima contra ataques hacker e acesso indevido;
  • Restringir o acesso ao dado pessoal apenas a quem realmente precisa dele para trabalhar;
  • Criar documentos que reforcem a adequação à lei, como formulário de consentimento, política de privacidade e cláusula específica sobre proteção de dados em contratos com terceiros;
  • Estabelecer um canal para receber as solicitações do titular, como um e-mail específico;
  • Sempre responder quando o titular faz alguma solicitação ou reclamação, justificando se é possível atender ou não o pedido.

2. O consentimento do titular é sempre obrigatório?

Não, nem sempre.

O consentimento é uma das bases legais da LGPD, mas não é a única. É possível tratar dados pessoais sob outras hipóteses, como para cumprir uma obrigação legal ou regulatória, mesmo sem consentimento.

Cabe à empresa avaliar qual é a melhor base para a sua necessidade de tratamento de dados.

3. Uma pequena empresa precisa mesmo indicar um DPO?

Não, não precisa. Uma resolução da ANPD (Autoridade Nacional de Proteção de Dados) de 27 de janeiro de 2022 liberou startups e empresas de pequeno porte da obrigação de indicar alguém para o cargo de DPO (Data Protection Officer), chamado na lei de encarregado.

No entanto, a resolução deixa claro que a empresa que não indicar um DPO deve disponibilizar um canal de comunicação com o titular de dados.

Além disso, a resolução destaca que a indicação de um DPO é uma boa prática de proteção de dados e será levada em consideração no caso de sanções por violações à lei.

4. Pequenas empresas têm regras diferenciadas para se adequar à lei?

Sim. Resolução da ANPD, publicada em janeiro de 2022, flexibilizou algumas regras da lei para pequenas empresas e startups. Antes de ser oficializada, a norma já havia passado por consulta pública no fim de 2021.

Dentre as mudanças anunciadas, está a dispensa da obrigatoriedade de indicar um DPO, como mencionamos no item acima.

Além disso, a norma para pequenas empresas prevê ainda que:

  • Os agentes de tratamento podem cumprir a obrigação de elaborar e manter um registro das operações de tratamento de forma simplificada;
  • A ANPD vai disponibilizar um formato simplificado para comunicação de incidentes de segurança;
  • Os agentes de tratamento podem adotar uma política simplificada de Segurança da Informação, levando em conta os custos de implantação e a estrutura da empresa;
  • As empresas possuem prazo em dobro para atender as requisições dos titulares de dados, comunicar incidentes de segurança e apresentar informações e documentos solicitados pela ANPD.

Para ler a resolução completa, acesse aqui o documento do Diário Oficial da União.

5. Quais são as penalidades para pequenas empresas que violam a LGPD?

Pequenas e médias empresas estão sujeitas às mesmas sanções administrativas que qualquer outra organização que trate dados pessoais no Brasil. 

As sanções previstas na LGPD são:

  • Advertência, com prazo para corrigir as infrações;
  • Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;
  • Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
  • Tornar pública a infração cometida;
  • Bloqueio dos dados pessoais relacionados à infração;
  • Eliminação dos dados pessoais relacionados à infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Proibição parcial ou total das atividades relacionadas a tratamento de dados.

Confira nosso diagnóstico para LGPD!

Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.

6. Além das sanções administrativas, quais são os outros riscos em caso de descumprimento da LGPD?

Além da possibilidade de punições por parte da ANPD, qualquer empresa que viole a LGPD também está suscetível a outros riscos, como:

  • Ações judiciais por parte dos titulares de dados e de entidades como o Ministério Público;
  • Danos de reputação, especialmente em caso de vazamento de dados;
  • Perda de negócios, clientes e possíveis parcerias;
  • Prejuízos financeiros, como no caso de precisar remediar danos por vazamentos de dados, pagar honorários advocatícios para se defender de ações ou indenizar clientes afetados.

7. Pela LGPD, a empresa pode manter sua base atual de contatos (nome, e-mail, telefone etc.)?

Sim, desde que a lista esteja em conformidade com a lei. Isto significa que esta lista deve ter sido coletada de forma legítima e que você deve estar de acordo com os princípios da legislação.

Além disso, a manutenção desta lista de contatos deve estar devidamente justificada por pelo menos uma das bases legais previstas pela LGPD, a exemplo do consentimento, do legítimo interesse, do cumprimento de obrigação legal ou da execução de contrato do qual o titular dos dados seja parte.

Você deve também garantir a segurança desses dados pessoais e adotar medidas que permitam aos titulares terem controle e acesso às suas próprias informações.

8. A LGPD permite fazer disparos de mensagem pelo Whatsapp?

O disparo de mensagens pelo Whatsapp deve seguir as mesmas regras que outras formas de contato envolvendo o uso de dados pessoais. 

Ou seja, deve estar justificado por uma base legal e respeitar os princípios da lei.

Se o titular deu o consentimento para receber as mensagens por Whatsapp, por exemplo, o envio é legal. Porém, se a mensagem tiver um fim econômico (como para vendas ou promoções) e não estiver justificada por uma das hipóteses da lei, ela é considerada ilegal.

9. Um pequeno negócio pode ser responsabilizado sob a LGPD em caso de ataque hacker ou vazamento de dados?

Sim, especialmente se o vazamento ocorreu por uma falha da empresa ou se ela não conseguir comprovar que adotou medidas para tentar evitar incidentes de segurança.

Vale destacar que a Segurança da Informação é um dos princípios da LGPD e, assim, é um requisito para estar em conformidade com a lei. 

Portanto, é importante adotar medidas mínimas de proteção, adequadas ao porte e às necessidades do negócio.

10. Como a empresa deve fazer para lidar com as requisições dos titulares de dados?

O primeiro passo é criar um canal de comunicação para que o titular possa entrar em contato para falar sobre o uso de seus dados pessoais. De maneira geral, essa comunicação é intermediada pelo DPO, mas a existência desse cargo não é obrigatória nas pequenas empresas..

Por meio desse canal, o titular pode solicitar informações, fazer reclamações e exigir o cumprimento dos seus direitos.

Depois que o contato é recebido, é importante que a empresa tenha um processo para avaliar a solicitação e respondê-la dentro dos prazos previstos em lei.

Por exemplo, se o titular pede para que seu dado pessoal seja excluído da base de dados da empresa, ela deve avaliar se é possível atender a solicitação. 

Se a companhia tiver que manter o dado por conta de uma obrigação legal, por exemplo, precisa responder o titular informando que não será possível atender seu pedido e justificar o porquê.

Obtenha ajuda de especialistas em LGPD

A Get Privacy ajuda pequenas e médias empresas a se adequarem à LGPD de forma prática e assertiva. Conte com a nossa equipe especializada em proteção de dados para evitar multas e ações judiciais.

Fale conosco para saber mais

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS