Em vigor, a Lei Geral de Proteção de Dados deve ser cumprida por todas as empresas, independentemente do porte, pelo menos até a Autoridade Nacional de Proteção de Dados (ANPD) editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei. 

Em palestra, mediada por Eduardo Neger, presidente da Abranet, no evento Internet Festival desta quarta-feira, 10/12, Patricia Peck, advogada especializada em direito digital, ressaltou a importância para as pequenas empresas se atentarem às exigências. Ressaltou, porém, que, sim, existe a possibilidade de a Autoridade de Dados dar mais prazo, mas até lá, o trabalho terá de ser de ajustes à nova legislação.

Patricia Peck apontou os principais quesitos da lei e ressaltou que a LGPD versa somente o tratamento de dados pessoais — o que ficar fora disto não está no escopo da lei. “Um balanço de empresa não tem nada a ver com LGPD. Dado pessoal é informação relacionada a pessoa natural identificada ou identificável. Já o endereço IP é dado pessoal porque é identificável”, detalhou.  

Entre as orientações que passou, a especialista destacou que para uma instituição de menor porte é importante buscar nos terceiros soluções que abarquem mais segurança, como DLP, camada maior de criptografia, antivírus mais fortes. Além disso, a advogada destacou como passo a passo para ficar em conformidade com a LGPD, a criação de um comitê dentro da empresa, fazer o levantamento do inventário das bases de dados pessoais atuais, implementar medidas administrativas e técnicas, definição do encarregado dos dados (o DPO, na sigla em inglês), elaborar plano de ação, entre outros. 

“É importante buscar as áreas críticas e ter um representante delas no comitê de privacidade. Normalmente, são as áreas de negócio, RH, marketing/comercial, jurídico e de TI que fazem parte do comitê. Também devem criar um programa de conformidade e nomear quem será o DPO, o encarregado, porque esta é uma exigência da lei e cujo contato tem de estar publicado no site; e isto não importa o tamanho da empresa”, disse.

O encarregado pode ser uma pessoa da própria empresa ou de fora, tanto pessoa física quanto jurídica. Assim, é possível contratar, por exemplo, um DPO como serviço, ter um DPO compartilhado com outras empresas ou apostar em modelo híbrido, uma parceria de alguém interno com alguém externo. “Existe um básico que tem de ser feito: publicar a política, publicar quem é o encarregado, ajuste de clausulas”, disse Peck. 

Entre os deslizes que as empresas cometem, ela apontou a falta de uma liderança para cuidar de LGPD (“quando é de todo mundo, não é de ninguém”) e achar que, se arrumar dentro de casa, já está protegido. “A responsabilidade da LGPD é solidária. Então, quando terceiriza, o terceirizado é o operador dentro da lei e, se ele não estiver em conformidade e ele sofrer violação, aos olhos do fiscalizador, cabe ao controlador, à empresa também. Tem de olhar o perímetro de parcerias, fornecedores e estimular uma adequação mínima de LGPD de todos que estão no ecossistema. Outro deslize é não fazer campanha de educação”, enumerou.