A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 30 de agosto de 2021, uma Consulta Pública sobre a minuta de resolução que regulamenta a aplicação da LGPD para PMEs e startups. A consulta estará aberta até o dia 29 de setembro e, na semana passada, a Autoridade promoveu audiências públicas para discutir com a sociedade as diretrizes da lei para esse grupo de empresas.
A norma proposta pela ANPD busca facilitar a adaptação à LGPD, contribuindo para a disseminação da cultura de proteção de dados pessoais. Na visão de Mario Toews, DPO, especialista em Segurança da Informação e sócio da Datalege Consultoria Empresarial, a LGPD se aplica a todas as empresas que tratam dados pessoais de seus clientes ou de seus colaboradores.
Em entrevista à Security Report, o especialista destaca que que o fio condutor de uma PME não deve ser em prioritariamente atender a legislação vendo como uma obrigação, mas sim, ter o devido respeito pelos direitos dos titulares de dados e garantir a continuidade do negócio.
Security Report: A audiência pública tem como objetivo ouvir a sociedade, mas é provável que a ANPD siga algumas diretrizes especiais para auxiliar as PMEs e startups a garantirem conformidade com a lei?
Mario Toews: A LGPD se aplica desde um pequeno negócio, como por exemplo uma borracharia, até uma gigante como a Petrobrás. A necessidade de uma revisão desta cláusula legal é pertinente e aguardada pelo mercado. Empresas de pequeno porte não têm, muitas vezes, condições organizacionais e orçamentárias para uma adequação completa à legislação de proteção de dados.
Devemos lembrar que a LGPD não é uma cópia fiel da GDPR (General Data Protection Regulation), mas certamente bastante similar. É provável que a ANPD siga algumas das diretrizes existentes na GDPR com a proposta de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade do grupo de PMEs à LGPD.
Security Report: Quais seriam essas desobrigações que podem impactar a LGPD?
Mario Toews: Na GDPR, que já se encontra num nível de maturidade mais avançado, existe uma desobrigação de alguns pontos da legislação para empresas com menos de 250 funcionários. Entre as desobrigações, está a dispensa de um registro com as atividades de tratamento de dados sob sua responsabilidade; o nome e o contato do responsável pelo tratamento e do encarregado da proteção de dados; as finalidades do tratamento dos dados; a descrição das categorias de titulares e de dados pessoais; os destinatários a quem os dados pessoais são divulgados; os prazos previstos para o apagamento e uma descrição das medidas técnicas e organizativas de segurança da informação.
Porém, na GDPR, estas dispensas não se aplicam se o Controlador ou Operador efetuarem algum tratamento de dados que implique um risco aos direitos e liberdades do titular que não seja ocasional ou que envolva categorias especiais (sensíveis) de dados.
Ou seja, que são aqueles que revelam a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, biométricos, relativos à saúde, à vida sexual ou orientação sexual.
Security Report: Qual o impacto para o mercado caso a ANPD dispense o cargo de DPO para as PMEs? Isso enfraquece a LGPD?
Mario Toews: A eventual dispensa da necessidade de indicação de um Encarregado de Proteção de Dados não chega necessariamente a enfraquecer a LGPD. Proteger os dados dos colaboradores e clientes, mesmo para uma pequena empresa, será uma moeda importante nos negócios, assim como hoje já são requisitos básicos um bom atendimento e produtos de qualidade. Os dados transformados em informações são muito valiosos, podem conter hábitos de clientes e serem usados de forma preditiva.
O que quero dizer com isso é que, mesmo sem um DPO destacado para esta função, será cada vez mais exigido pelos titulares o correto tratamento dos seus dados pessoais, lembrando que os dados pertencem aos titulares, que não aceitarão coletas de dados excessivas ou não apresentadas de forma clara.
Security Report: Apenas ter um canal de comunicação com o titular seria suficiente em caso de não contar com um DPO?
Mario Toews: O titular terá um espaço para atendimento dos seus próprios direitos, onde poderá solicitar informações tratadas pelo Controlador, ter acesso aos seus dados e até pedir a eliminação dos dados ou revogar consentimentos existentes. A disponibilização deste canal será vista cada vez mais pelo mercado como algo positivo e que revela responsabilidade no tratamento dos dados, trazendo força para a LGPD.
Security Report: Caso as PMEs tenham obrigações diferenciadas nessa jornada de conformidade, você acredita que o sistema de proteção de dados como um todo pode ser vulnerável e prejudicar todo o país?
Mario Toews: Precisamos tirar um pouco do foco a proteção de dados como uma obrigação legal. É necessário pensar na importância que os dados têm para uma empresa de qualquer porte.
As estratégias de negócio poderão ser aplicadas em organizações de qualquer tipo ou tamanho de negócio, desde que o empreendedor tenha controle das informações e esteja em conformidade com a lei. O mercado, em geral, não vai tolerar mais o uso de bases de dados compradas de origens duvidosas. Cada vez mais a origem dos dados precisará ser autêntica.
Security Report: Como as PMEs podem tratar melhor dos dados dos clientes sem ser um processo oneroso?
Mario Toews: Claro que tecnologia de ponta custa caro, não há dúvidas sobre isso. Uma PME pode ter acesso a muitas ferramentas de segurança da informação, estamos falando aqui de firewalls em nuvem, soluções de antivírus para pequenas empresas com investimentos menores, soluções de backup mais simples, entre outras medidas técnicas.
Com relação às medidas organizativas, a maioria delas não tem um custo significativo, cabe à empresa escrever a sua política de segurança da informação e termos de privacidade, bem como caprichar nos contratos e termos de confidencialidade, tudo isso adequado ao seu ramo de negócio e ao tamanho dele.
Security Report: Aqui cabe também as campanhas de conscientização certo?
Mario Toews: Com certeza, talvez seja a parte mais importante, investir em educação, trazendo a empresa para um nível mais alto na cultura da segurança da informação. As pessoas são parte essencial no tratamento correto dos dados. Na maioria das vezes, mesmo a empresa tendo ótimos processos e grandes investimentos em tecnologia, ela pode ser surpreendida por um ataque hacker ou um vazamento de informações promovido por um insider.
Security Report: Quais seriam os próximos passos para esse processo de conformidade com a LGPD?
Mario Toews: É quase certo que a ANPD dispensará empresas de pequeno porte de certas obrigações da LGPD, desde que estas empresas não tratem dados sensíveis ou possam gerar um prejuízo ao titular dos dados. Estas dispensas tornarão a lei mais aplicável a empresas com recursos financeiros e humanos mais reduzidos.
Mas, novamente, fica aqui que o fio condutor de uma PME não deve ser em prioritariamente atender a legislação de forma ampla, mas sim, ter o devido respeito pelos direitos dos titulares de dados e ainda garantir a continuidade do seu negócio através dos cuidados técnicos e organizacionais da confiabilidade da informação, englobando os aspectos de confidencialidade, disponibilidade e integridade.
Observando estes princípios, o controlador e o operador já estarão bastante avançados na adequação à lei e no diferencial competitivo de seus negócios e perante os clientes, sejam pessoas físicas ou jurídicas.
