Com a lei 13709/2021, o ordenamento jurídico brasileiro instituiu a LGPD – Lei geral de proteção de Dados. Apesar de consolidado, muitos empreendedores ainda não se adaptaram a nova sistemática e, por falta de conhecimento, podem aumentar o risco do negócio ao deixarem os dados de suas empresas expostos.

O que é a LGPD?

Ao contrário do que muitos sites noticiam por aí, a legislação não se destina apenas para proteger as informações online. A LGPD é uma legislação que acompanha o processo mundial sobre o tratamento de dados pessoais dentro e fora da internet.

Tem o objetivo de assegurar, a privacidade, intimidade, honra e imagem de todo e qualquer indivíduo. Ou seja, A LGPD visa evitar que as informações de qualquer pessoa (seja física ou jurídica) seja utilizada sem sua autorização e/ou utilizada para fins diversos daqueles para os quais foram fornecidos.

Qual é o impacto da LGPD no meu negócio?

Essa é a pergunta que todo empreendedor tem feito desde que a legislação entrou em vigor. Isso porque a mídia e os vendedores de softwares têm feito propagandas alarmantes para nos assustar e muitas vezes vender novos sistemas que, nem sempre serão utilizados pela empresa.

Ao ler a legislação, o empresário pode se assustar com a quantidade de novas obrigações criadas e com as penalidades que o negócio pode sofrer se, eventualmente, desrespeitar as novas regras.

Reparação de danos – O controlador ou operador de dados que, em razão do exercício de sua atividade de tratamento de dados pessoais, causar a terceiros dano, moral, individual ou coletivo, tem o dever de reparar.

Sanções administrativas – Além de reparar o dano que eventualmente causar a terceiros, o controlador ou operador estão sujeitos às sanções administrativas aplicadas pelo órgão publico fiscalizador  (ANPD) que, levando em consideração a gravidade da infração, podem ser de advertências com recomendações até multa com valor mínimo de 2% do faturamento e pode chegar até 50 milhões de reais por infração.

Percebe-se que o tratamento dos dados ganhou uma relevância maior e, por isso, devem receber a devida importância por todos os agentes envolvidos. Note que a legislação apresenta figuras profissionais que são responsáveis pelos dados:

O Controlador – Pessoa física ou jurídica responsável por receber e tomar decisões quanto ao tratamento dos dados recebidos. Como exemplo: um pequeno comércio que colhe dados de seus clientes para criar um cadastro de venda (informações como CPF, data de nascimento, endereço, etc.);

O Operador – Pessoa física ou jurídica responsável pela recepção e guarda das informações colhidas pelo controlador. Não tem poder de decisão dos tratamentos dos dados recebidos. Como exemplo, tendo como base o tópico anterior, o pequeno comércio que colhe dados de seus clientes para cadastro e contrata um software que faz guarda das informações de maneira segura em seu banco de dados. A empresa que fornece o software é a operadora.

É importante destacar que controlador e operador têm responsabilidade solidária se eventualmente o tratamento dos dados apresentar erros que causem danos a terceiros.

Nesse sentido, o pequeno comércio que contratou uma empresa para tratamento dos dados, tem o banco de dados hackeado, informações (telefone, e-mail, CPF e data de nascimento) são vazados na internet e a situação faz com que vários clientes tenham seus dados utilizados de forma mal intencionada em compras online, tem o dever de reparar os danos.

No exemplo acima, pouco importa qual agente da relação deu causa ao vazamento. Tanto o comércio quanto a empresa de guarda de dados, terão responsabilidade. Os clientes prejudicados podem acionar a justiça em face de qualquer uma das duas e ter seus prejuízos ressarcidos.

Então, o impacto causado pela LGPD vai além das sanções e responsabilização que o negócio pode sofrer. O empreendedor deve incluir também os eventuais custos de adaptação e manutenção para segurança dos dados recebidos.

Afinal, eu sou o Controlador ou o Operador dos dados?

É importante frisar que o papel de cada agente é definido com a atividade que desempenha em relação aos dados de cada cliente. Mas, para fins de responsabilização, é necessário deixar muito claro quem é quem em cada relação.

Significa dizer, portanto, quem nem sempre uma empresa é controladora ou operadora. Ela pode estar, por exemplo na condição de cliente. A exemplo: Muitas empresas, para negociar com outras, devem preencher cadastros com informações sensíveis de faturamento, quantidade funcionários, participação societária de cada sócio, capacidade financeira e garantias, entre outras.

No exemplo acima, quem recebe as informações é o controlador. Enquanto a empresa que fornece os dados é a titular dos direitos.

E o que devo fazer?

No mundo  em que vivemos, é praticamente impossível garantir  100% de segurança de todos os dados que recebemos. A LGPD veio para definir as regras do jogo no sentido de incentivar todos a darem maior atenção à proteção dos dados, estabelecer a responsabilidade de cada agente e as punições em caso de mau tratamento dos dados recebidos.

Assim, controladores e operadores devem:

  • Mapear todo o processo de coletas de dados, verificando se todas as informações são necessárias;
  • Conceder a todos os colaboradores (desde empresários, gerentes até funcionários) cursos de formação rápida a fim de orientar quanto ao correto tratamento de dados;
  • Colher o consentimento do titular das informações (clientes) para uso e acesso das informações. Bem como informa-los sobre quem são os responsáveis pela guarda dos dados e o tempo que as informações serão mantidas.

Uma alteração importante é que o titular dos dados, a qualquer tempo pode revogar a autorização de uso e acesso, bem como também solicitar do controlador ou operador as informações sobre o que foi feito com os dados que lhes foram fornecidos.

O não fornecimento dessas informações, pode causar sanção administrativa ao controlador e operador porque não deram o tratamento adequado dos dados sensíveis conforme previsão legal.

  • Eliminar todos os dados que tenham sido colhidos sem a autorização do titular; E, por fim,
  • Implantar um programa interno de governança que tenha por objetivo proteger os dados e informações que são recebidos por força da operação de atividade de cada negócio.

Há sim casos em que as empresas precisam contratar outras para lhes auxiliarem na guarda e segurança dos dados recebidos. Por nossa experiência com pequenos e médios negócios, o empreendedor deve antes de qualquer coisa buscar informações e verificar quais regras se aplicam ao seu negócio.

Existe conteúdo oficial gratuito:

Curso gratuito do ENAP (site do governo federal) sobre  proteção de dados

Guia gratuito da Agência Nacional de Proteção de dados

Além do conteúdo gratuito, o empreendedor pode buscar por consultorias especializadas com especialistas. Nós indicamos duas consultorias:

A do SEBRAE  que fornece cursos de formação para o empreendedor e seus colaboradores;

A do Sr. Marcos Cabral Consultoria em Gestão e Educação – Essa consultoria, especificamente, fornece curso de formação e consultoria com as adaptações necessárias para cada negócio. Caso seja de seu interesse contratar, entre em contato conosco que fornecemos o contato do profissional.

E, por fim…

Não se desespere. Evite decisões tomado de forte emoção. Nós da ISOTEC Escritório Contábil e Financeiro com sua experiência com pequenos e médios empresários temos visto que boa parte das empresas já toma alguma medida para se proteger de eventuais ataques e não utiliza os dados de seus clientes de forma indevida.

É importante esclarecer também que nem todas as informações são sensíveis. Não há que se falar em tratamento de dados de informações de domínio público ou que o próprio titular do direito divulga indiscriminadamente.

Recomendamos fortemente que, antes de procurar uma consultoria especializada ou contratar um novo sistema de tratamento de dados, o empreendedor dispense tempo para ler a legislação da LGPD, acesse o curso gratuito da ENAP e leia o manual da ANPD. Esse material, por si, trará um norte para o empreendedor tomar algumas decisões sobre o negócio.

 

Nós da ISOTEC, como escritório de contabilidade recebemos informações sensíveis de nossos clientes que decorrem de lei e do exercício de nossas atividades. Ao assinar nosso contrato de prestação de serviços, o cliente autoriza nosso acesso e tratamento das informações. 

Desde antes da vigência da legislação, nós temos adaptado nossa operação para atender aos novos requisitos de proteção:

  • Devolvemos documentos que não são mais utilizados aos seus titulares;
  • Deletamos de nosso banco de dados informações que não são mais necessárias;
  • Demos palestras de conscientização aos nossos colaboradores e incentivamos que todos fizessem o curso da ENAP;
  • Em todos os e-mails que enviamos tem um aviso de confidencialidade das informações e da necessidade de apaga-las após o uso;
  • Contratamos um sistema em nuvem para proteção dos dados que ficam sob nosso poder;
  • E estamos em constante melhoria para criar um sistema interno de governança para melhorar a coleta de dados e evitar o vazamento de informações.

Essas são as medidas que tomamos no nosso negócio que pode servir de exemplo para o seu. Entendemos que a LGPD, apesar de ser mais uma lei que pode aumentar o risco do empresário, é uma legislação benéfica a todos nós diante da quantidade de informações que são repassadas para centenas de empresas no dia a dia.

LGPD impacto nos negócios de pequeno e médio porte