Sua startup está pronta para a LGPD? Tem certeza? Saiba tudo que você precisa fazer — agora — para se adaptar à nova lei

A Lei Geral de Proteção de Dados (Lei 13.708/18), a tão falada LGPD, não é mais um tema tão novo. 

Mesmo assim, a maioria das empresas não estava preparada quando o projeto começou a ganhar mais espaço nas agendas do Congresso.

Elaborada com base na General Data Protection Regulation (GDPR), em vigor na Europa, a LGPD tem por objetivo estabelecer fundamentos legais para o tratamento de informações pessoais pelas organizações e garantir direitos aos donos desses dados. 

Trata-se de um agrupamento de normas que especifica direitos e deveres relacionados aos dados pessoais da população, destinado a preservar a privacidade e liberdade dos brasileiros por meio de uma padronização no tratamento e governança dessas informações pelas empresas. 

Essa lei é aplicável a toda e qualquer atividade que envolva dados pessoais no Brasil (ou mesmo fora do Brasil), seja por pessoas físicas ou jurídicas. 

ADAPTAR-SE LOGO PODE SER SINÔNIMO DE VANTAGEM COMPETITIVA

As empresas já precisavam dessa atualização, devido à crescente utilização dos dados pelo avanço da tecnologia e meios digitais. 

Recentemente, esbarraram em uma aceleração digital forçada pela Covid-19. E agora, efetivamente, necessitarão redobrar o cuidado com a coleta, o tratamento, o armazenamento e o compartilhamento de dados de seus clientes. 

Elas precisarão correr para se encaixarem nas exigências e consequências que poderão vir com o mau uso ou o uso incorreto dessas informações. 

Existe um movimento de ambos os lados. Os consumidores ganham incentivo, transparência e mais direitos para exigirem soluções quanto à proteção de seus dados. As organizações necessitam estudar e se adaptar a esse novo cenário — e, se utilizarem de forma correta e clara, podem ganhar uma vantagem competitiva, gerando a confiança não só dos clientes como dos próprios colaboradores

Ninguém disse que seria fácil. Mas com organização, informação e pondo em prática tão logo as adaptações à nova lei, tudo se torna mais seguro e descomplicado.

O NÍVEL DE MATURIDADE DAS PMES PODE SER UM OBSTÁCULO

Mesmo com a sanção da LGPD em 2018, muitas dúvidas ainda surgem sobre a lei, principalmente quando o âmbito é para as pequenas e médias empresas e a adaptação à nova regra. 

No geral, e baseado nas percepções do que já tem sido feito, creio que não tenha muita diferença para as empresas como um todo. 

Entendo, porém, que o problema maior é que o nível de maturidade dos pequenos e médios negócios é baixo em diversos processos, o que requer uma atuação bem prática no dia a dia — em que a capacitação e conscientização dos colaboradores se torna ainda mais essencial 

Todas as empresas deverão se adequar à lei, independentemente de seu porte. E alguns pontos devem ficar bem claros na hora de colocar em prática — como, por exemplo, explicar aos clientes por que tais dados precisarão ser coletados, e a transparência em garantir que a coleta dessas informações ocorra de forma segura. 

Além disso, é essencial ter um profissional especializado para acompanhamento e consulta dessas modificações. 

A TRANSPARÊNCIA SOBRE O TRATAMENTO DOS DADOS É FUNDAMENTAL

Por mais que a empresa não possua um banco de dados mais extenso, qualquer informação básica como nome e telefone são de consideração para a lei. 

Um dos pontos mais importantes é que exista transparência sobre o tratamento dos dados, autonomia na gestão do consentimento, além de um método para solicitação de informações adicionais sobre os dados e os tratamentos realizados pela empresa

Importante também o dever de proteger os dados de acessos indevidos ou vazamentos de informação, e de comunicação em caso de desvios na utilização ou vazamentos dos mesmos (neste ponto, seguros cibernéticos têm apoiado as empresas).

Segundo a lei, todas as empresas devem possuir um Encarregado de Dados ou Data Protection Officer (DPO), que fica encarregado de proteger as informações e ser o canal de comunicação entre as empresas, os clientes e a Autoridade Nacional de Proteção de Dados (ANPD) – órgão responsável pela fiscalização da lei ou qualquer outro órgão do judiciário requisitante. 

Quando falamos de pequenas e médias empresas, esse funcionário poderá ser um dos colaboradores — ou mesmo o próprio dono. 

EM CASO DE INFRAÇÃO, AS MULTAS PODEM CHEGAR A MILHÕES DE REAIS

O grande desafio ainda é traçar um plano de adequação à lei – no que diz respeito ao compliance, como serão os processos de cadastro e segurança e o quanto a tecnologia deverá ser usada para isso – para, assim, verificar quem serão esses agentes. 

Avaliando os cenários positivos, a empresa que se destacar nesse processo de adequação e na prática no dia a dia terá mais chance de sair na frente — conquistará não só a confiança dos consumidores e todas as partes envolvidas, como também os bons olhos perante a lei

Em um cenário negativo, onde a empresa não começou a verificar o que deve ser modificado e adequado, ou ainda não está se preocupando com isso, as penalidades, em caso de infrações, são limitadas em até 2% do faturamento restrito a 50 milhões de reais, multa diária e bloqueio ou eliminação dos dados pessoais a que se refere a infração. 

Se multas que chegam a milhões podem ser ruins para grandes empresas, imagine para as pequenas e médias, que têm menor receita, menos fluxo de caixa, liquidez…

A COVID-19 ACELEROU A NECESSIDADE DE TER UM PLANO DE AÇÃO

A Deloitte já ajudou diretamente quase 100 empresas a se adaptarem à lei. E ficou claro que algumas das pequenas e médias não estavam tão preparadas como as grandes corporações. 

Diante dessa percepção e do cenário geral, é ainda mais essencial que empresas estabeleçam um plano de ação. Essa necessidade, que há pouco tempo não se via como importante, foi acelerada diante do cenário trazido pela Covid-19.

Não só mais dados estão sendo gerados, como também novas estruturas de venda e de atendimento, devido o distanciamento exigido pela pandemia. 

Se por um lado os fatores externos estão em transformação, por outro a exposição à aplicação das punições se torna cada vez mais próxima.

Outros aspectos devem ser trabalhados o quanto antes: 

• A cultura organizacional, pois em muitos casos é necessário a conscientização da equipe e treinamento; 
• A identificação desses dados, o que deverá ser mapeado, organizado e armazenado; 
• O contato com os parceiros e todos os envolvidos com as empresas, a fim de alinhar como estes também estão lidando com a adequação à lei; 
• Estabelecer o compliance por meio de avaliação de contratos, regras, políticas internas ou apenas rever o que já está em curso; 
• Garantir formas de segurança, como contratação de empresas e avaliação da segurança digital; 
• Assegurar uma forma de manter todos os fatores anteriores em manutenção, sempre avaliando e destacando a importância da segurança dos dados pessoais dos clientes.

Como especialista da área de riscos cibernéticos (considerando a quantidade de eventos de falhas de segurança da informação e a crescente necessidade por digitalização dos processos organizacionais), afirmo que hoje há grande necessidade entre as empresas de modo geral de se prepararem para a LGPD.

Mesmo que em menor proporção, os pequenos e médios negócios serão impactados por processos não implementados e equipes não adaptadas — o que poderá resultar em riscos maiores para essas empresas, na comparação com as grandes companhias

Mudanças trazem oportunidades para profissionais se especializarem, para gestores mostrarem os valores de sua empresa e para companhias se diferenciarem no mercado.

Agir, se adaptar e trabalhar para manter o compliance com a Lei Geral de Proteção de Dados deverá ser um novo objetivo daqui para a frente. O sucesso é praticamente garantido para quem já está se organizando e priorizando os próximos passos.

José Pela Neto é sócio da prática de Cyber Risk da Deloitte.