PME

LGPD: uma nova resolução flexibiliza obrigações para as PMEs

Raphael Cornélio, sócio do escritório Romar, Massoni & Lobo Advogados, explica como as regras da Lei Geral de Proteção dos Dados afetam a vida dos empreendedores

LGPD (Vectorpower/Getty Images)

LGPD (Vectorpower/Getty Images)

DR

Da Redação

Publicado em 14 de fevereiro de 2022 às 13h28.

Última atualização em 14 de fevereiro de 2022 às 13h48.

Em setembro de 2020, entrou em vigor no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018). Apesar disso, mesmo que essa legislação já esteja em vigor, sua implantação por muitas empresas ainda não foi concluída e, em alguns casos, sequer iniciada, o que gera um grande risco de sofrerem penalização.

Conheça o BTG+ business, uma plataforma pensada para reduzir a burocracia e ajudar na solução das adversidades para PMEs

A LGPD se aplica a todas as empresas que tratam dados pessoais em território brasileiro, inclusive as PMEs. Sabemos, contudo, que, considerando sua complexidade e especificidade, a implementação e manutenção de medidas, que atendam às obrigações previstas nessa legislação, demandam elevado investimento, com potencial de causar impacto financeiro.

Por esta razão, o instrumento regulatório publicado pela Agência Nacional de Proteção de Dados (ANPD), no último dia 27 de janeiro, era muito esperado pelos empreendedores.

Trata-se da Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD para microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, adequando as obrigações previstas às suas possibilidades.

Vejamos os principais itens dessa resolução que flexibilizam e dispensam obrigações para essas empresas:

1. Possibilidade de disponibilização das informações sobre o tratamento de dados pessoais e atendimento às requisições dos titulares por meio eletrônico, impresso, ou qualquer outro que assegure o acesso facilitado às informações pelos titulares.

2. Possibilidade de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

3. Procedimento simplificado de elaboração e manutenção de registro das operações de tratamento de dados pessoais.

4. Simplificação do procedimento de comunicação de incidentes de segurança.

5. Dispensa da obrigação de indicar o encarregado pelo tratamento de dados pessoais (DPO – Data Protection Officer). Ao não indicar, as PMEs devem, no entanto, disponibilizar um canal de comunicação para que titulares dos dados possam exercer seus direitos.

6. Simplificação da política de segurança da informação, que contemplará requisitos essenciais e necessários para o tratamento de dados pessoais, levando em conta os custos de implementação e as possibilidades das PMEs.

7. Prazo em dobro no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais e na comunicação com a ANPD, em casos de incidente de segurança.

Vale ressaltar que esta resolução, mesmo flexibilizando algumas regras, não alterou o direito que o titular dos dados tem à proteção de seus dados pessoais. Em função disso, os agentes de tratamento das PMEs não podem deixar de tomar as medidas administrativas e técnicas de segurança da informação, conforme previsto na LGPD.

Guia de orientação da ANPD para PMEs

Para auxiliar os agentes de tratamento de pequeno porte, a ANPD elaborou um guia orientativo intitulado “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”. Este guia sugere padrões técnicos mínimos de segurança que as PMEs poderão utilizar. A seguir, apresentaremos os pontos relevantes que recomendamos serem adotados:

Política de segurança da informação

Estabelecimento de uma política de segurança da informação, ainda que simplificada, com previsão de revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais, como por exemplo, entre outros: cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e uso de antivírus.

Conscientização e treinamento

Realização de campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais e de treinamento aos empregados para que possam cumpri-los. Algumas informações úteis que podem ser passadas aos funcionários são:

- Como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário.

- Como evitar de se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques de phishing, que podem ocorrer, por exemplo, ao clicar em links recebidos na forma de pop-ups de ofertas promocionais ou em links desconhecidos que chegam por e-mail.

- Manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas.

- Não compartilhar logins e senhas de acesso das estações de trabalho.

- Bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros.

- Seguir as orientações da política de segurança da informação.

Gerenciamento de contratos

As PMEs deverão incluir em seus contratos de trabalho termos de confidencialidade (non-disclosure agreement - NDA) para que os empregados se comprometam a não divulgar informações confidenciais que envolvam dados pessoais obtidos durante o trabalho. Além disso, nos contratos celebrados com fornecedores e parceiros comerciais deverão ser incluídas cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais.

Controle de acesso

Implementação de sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais.

Segurança de dados pessoais armazenados

Para se evitar riscos de incidentes de segurança e outros comprometimentos, as PMEs devem, entre outros: coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida; utilizar tecnologia de criptografia para a proteção de dados pessoais; evitar a transferência de dados pessoais para dispositivos de armazenamento externo (pendrive, HD externo etc.); formatar as mídias que contenham dados pessoais antes de descartá-las e, quando não for possível, como em CDs e DVDs, sugere-se que seja realizada a destruição física da mídia.

Segurança das comunicações

Deve-se utilizar protocolos de comunicação seguros que contenham criptografia, inclusive no uso de e-mails cujo conteúdo ou anexos contenham dados pessoais. Também deve-se manter um sistema de firewall que monitore e bloqueie ameaças, assim como utilizar ferramentas Antispam.

Manutenção de programa de gerenciamento de vulnerabilidades

Uma medida adicional de segurança consiste na adoção e atualização de softwares antivírus ou antimalwares, que detectam, impedem e atuam na remoção de programas maliciosos, a exemplo dos vírus, em todos os dispositivos da empresa.

Medidas relacionadas ao uso de dispositivos móveis

Devem ser implementados procedimentos de controle de acesso, como o uso da autenticação multifator para acesso aos dispositivos e sistemas de informação da organização, além de serem guardados em locais seguros quando não estiverem em uso. Sugere-se também que sejam implementadas funcionalidades que permitam apagar remotamente os dados pessoais, em eventual perda ou roubo.

Medidas relacionadas ao serviço em nuvem

O serviço oferecido pelo provedor deve atender aos requisitos estabelecidos pelas PMEs, tais como procedimentos de autenticação multifator, aplicativos autenticadores ou SMS para acesso aos serviços em nuvem relacionados a dados pessoais

Espera-se que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais das PMEs.

Por fim, as medidas sugeridas devem ser entendidas como boas práticas e devem ser complementadas com outras que venham a ser identificadas pelas PMEs como necessárias para promover a segurança no fluxo informacional dos dados pessoais.

Assine a EMPREENDA e receba, gratuitamente, uma série de conteúdos que vão te ajudar a impulsionar o seu negócio.

Acompanhe tudo sobre:dicas-de-empreendedorismoEmpreendedoresLGPD – Lei Geral de Proteção de Dados

Mais de PME

ROI: o que é o indicador que mede o retorno sobre investimento nas empresas?

Qual é o significado de preço e como adicionar valor em cima de um produto?

O que é CNAE e como identificar o mais adequado para a sua empresa?

Design thinking: o que é a metodologia que coloca o usuário em primeiro lugar