As empresas que processam dados pessoais relacionados a titulares de dados no Brasil estão sujeitas à Lei Geral de Proteção de Dados Pessoais (LGPD), independentemente do seu tamanho ou localização. A probabilidade é que a maioria das pequenas empresas que mantêm um banco de dados de clientes, funcionários ou contratos comerciais seja obrigada a cumprir com a LGPD. O processamento de dados pessoais significa essencialmente qualquer operação realizada em dados pessoais (armazenamento, compartilhamento, exclusão, coleta e modificação são alguns exemplos de processamento de dados).
Então, o que a LGPD significa para as pequenas empresas? Praticamente o mesmo que acontece com grandes empresas e organizações. Se sua empresa processa dados pessoais ou informações de identificação pessoal no Brasil, que são dados que podem ser usados para identificar indivíduos específicos, a empresa está sujeita às regras da LGPD.
Qual é o objetivo da LGPD?
Para compreender melhor o que a LGPD significa para as pequenas empresas, um bom ponto de partida é entender os objetivos do regulamento. A LGPD é um regulamento projetado para proteger a privacidade dos titulares de dados no Brasil e dar-lhes mais controle sobre o processamento de seus dados pessoais, no que diz respeito a quais dados pessoais são coletados, como são usados, com quem são compartilhados e por quanto tempo é guardado. Algumas das maneiras pelas quais a LGPD atinge o seu objetivo incluem:
Estipular que uma empresa só pode coletar dados pessoais se houver uma razão legal para fazê-lo.
Estipular que, quando os dados pessoais estão sendo inicialmente processados, ou seja, coletados por uma empresa, a empresa deve deixar claro para que serão usados, isso normalmente é feito por meio de uma política de privacidade ou aviso de privacidade.
Estipular que, quando o consentimento é legal, os titulares dos dados devem dar o seu consentimento livre, específico, informado e inequívoco para que os seus dados pessoais sejam processados.
Os titulares dos dados devem ser capazes de retirar o consentimento com a mesma facilidade com que foi dado.
Estipular que os titulares dos dados tenham o direito de solicitar a exclusão dos seus dados pessoais. A exclusão de seus dados pessoais não é um direito absoluto quando a empresa tem a obrigação legal de reter os dados.
Estipulando que os titulares dos dados podem solicitar uma cópia digital dos seus dados pessoais para fornecer a outra empresa em um formato legível por máquina, este é um dos muitos direitos de dados do titular dos dados ou indivíduo.
Estipular que as empresas devem implementar medidas técnicas e organizacionais adequadas para manter os dados pessoais seguros e protegidos.
Estipular que os princípios da LGPD devem ser aplicados ao processamento de dados pessoais e que a empresa deve ser responsável e manter registros para demonstrar conformidade.
Manter os dados em segurança pode representar enormes desafios para muitas empresas. Existem muitos tipos diferentes de ameaças internas e externas à segurança dos dados, e não apenas de agentes mal-intencionados. Erros corriqueiros, como enviar um e-mail para a pessoa errada, não criptografar uma base de armazenamento em nuvem ou deixar uma chave USB não criptografada por acidente em um ônibus podem fazer com que os dados sejam acessados sem autorização. Uma vez ocorrida uma violação de dados, não há como saber como os dados serão usados.
O que são dados pessoais especiais?
Dados de categoria especial são dados pessoais que a LGPD afirma serem mais sensíveis e podem colocar um indivíduo em risco de discriminação ilegal se usados indevidamente ou divulgados sem autorização. Consequentemente, ao processar esses dados de categoria especial, as empresas podem precisar de uma base legal separada. O consentimento explícito deve ser fornecido pelo titular dos dados. O consentimento explícito pode ser, por exemplo, um formulário assinado. Os dados de categorias especiais incluem quaisquer dados pessoais relacionados a:
Raça.
Origem étnica.
Afiliação política.
Religião.
Filiação sindical.
Genética.
Biometria (quando usado para fins de identificação).
Saúde.
Orientação sexual.
Os dados relacionados a infrações criminais estão sujeitos aos mesmos controles que os dados de categorias especiais. As empresas só podem manter um “registro abrangente de condenações criminais” se tiverem fundamentos legítimos e proteções compatíveis com a LGPD em vigor.
Como conquistar a conformidade com a LGPD para pequenas empresas
As seguintes considerações podem fornecer uma indicação das tarefas mais importantes que serão necessárias para que as empresas brasileiras estejam em conformidade com a LGPD.
Audite os seus dados
Auditar os dados que sua empresa mantém não será uma tarefa trivial, mas permitirá que você tome muitas decisões importantes sobre como cumprir com a LGPD. As principais perguntas a serem respondidas incluem:
A localização de onde seus dados estão armazenados.
Por que certos tipos de dados pessoais estão sendo processados.
Qual é a base legal para o processamento.
Quanto tempo é retido.
Quem tem acesso atualmente aos dados pessoais e quem deve ter acesso no futuro.
Quais são os controles técnicos e organizacionais apropriados em vigor.
Todas essas questões precisam ser abordadas antes de você decidir o melhor curso de ação para sua empresa. Se você não sabe quais dados pessoais você armazena, você não pode fazer nenhum plano em torno desses dados.
Audite seus provedores de serviços e fornecedores
A tarefa de auditar a conformidade dos seus provedores de serviços e fornecedores é onde muitas empresas brasileiras podem falhar e pode ser onde o risco mais significativo reside em seus negócios. Você precisará revisar seus contratos com prestadores de serviços terceirizados que processam dados pessoais em seu nome e assinam contratos de processamento de dados. O controlador de dados é obrigado a assinar contratos sob a LGPD e o processador de dados só pode agir de acordo com as instruções do controlador.
Se um de seus provedores de serviços de dados não puder provar que está do lado certo quanto à conformidade com a LGPD, o trabalho que eles fazem em relação aos dados pessoais de seus titulares de dados pode ser considerado não conforme e colocar o controlador em risco.
O direito ao esquecimento e outros direitos do titular dos dados
A LGPD introduz dois direitos adicionais para os brasileiros que são abrangidos pelo regulamento: o direito ao esquecimento (exclusão) e o direito à portabilidade dos seus dados.
Esses direitos também incluem o direito de acesso para receber uma cópia dos seus dados pessoais, o direito de retificação e restrição de processamento e o direito de contestar processamento incluindo processamento automatizado e criação de perfil.
Estes direitos podem conduzir a um aumento significativo dos pedidos de titulares de dados no país e as empresas e organizações devem garantir que são cumpridos e dispõem de pessoal adequado para tratar do assunto.
Controladores e Processadores
Você precisará entender se se enquadra na categoria de processador de dados ou controlador de dados de acordo com as novas diretrizes da LGPD. Um processador de dados é uma empresa que processa dados pessoais em nome de um controlador. Um controlador de dados é uma empresa que determina as finalidades e meios de como os dados do cliente devem ser processados. Tanto os controladores quanto os processadores têm implicações diferentes em relação ao modo como cumprem a LGPD para empresas brasileiras. Sua empresa pode ser controladora e processadora de dados ao mesmo tempo.
Considerações Finais
A conformidade com a LGPD é tão importante para pequenas empresas quanto para grandes corporações multinacionais. Consequentemente, muitas empresas optaram por nomear um Oficial de Proteção de Dados (DPO) para atender aos requisitos da LGPD ou nomear uma empresa de consultoria para iniciar os preparativos da LGPD antes de delegar a função a um funcionário existente.
A falta de conhecimento não é uma desculpa aceita para não cumprir a LGPD. Todos os negócios, desde um único comerciante até uma corporação multinacional, precisam observar como processam dados pessoais, sejam eles controladores ou processadores, e ter certeza de que os processos e as políticas em torno dos dados pessoais estejam em vigor. Também deve haver medidas em vigor para facilitar as solicitações de acesso a dados e procedimentos para identificar e relatar uma violação de dados, caso ocorra. Implementar medidas técnicas e organizacionais adequadas para manter os dados protegidos e seguros também é fundamental.
Para essa missão, conte com a RS Data Security. A RS Data Security vem se especializando no mercado de proteção de dados, com o intuito de prover aos seus clientes completo serviço de adequação e sustentação aos requisitos regulatórios da LGPD.
Entre em contato com um dos nossos consultores e comece hoje mesmo seu projeto de conformidade com a LGPD.
Comments