LGPD adiada: pontos fundamentais para as PMEs se adequarem até 2021

O Senado aprovou, no dia 3 de abril, o adiamento, para janeiro de 2021, da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGDP) – a medida ainda requer o aval dos deputados e da sanção do Presidente da República, porém, o mercado já dá como certa a mudança. Entre os principais motivos estão: as empresas brasileiras não estão preparadas – de acordo com o Gartner, somente 30% das companhias estariam prontas quando a nova legislação começasse a valer; não criação do órgão regulador, a ANPD (Autoridade Nacional de Proteção de Dados Pessoais) e o cenário financeiro pouco otimista diante da crise do COVID-19.

O fato é, que independente disso, as companhias precisam se adaptar e rever toda sua estratégia de gestão de dados e se preparar para estar em compliance já no começo do próximo ano. Pensando nas PMEs, por onde elas devem começar? O primeiro é entender os processos e identificar quais tipos de informações pessoais são coletadas em cada um deles, com quem são compartilhadas, quais os usos dentro da organização e o prazo que ficarão guardadas – isso nos ambientes online e offline, físico ou digital.

Diante disso, é obrigatório informar à pessoa física para qual finalidade o dado está sendo solicitado e pedir consentimento dela para armazenar e compartilhar com terceiros, se necessário. Sem essa permissão, a empresa poderá infringir a LGPD e pode sofrer sanções que variam desde advertências, paralização das atividades, até uma multa que pode variar de 2% sobre o seu faturamento bruto até R$ 50 milhões, por infração.

Vamos imaginar uma loja de bolos, que envia notas fiscais com CPF, nome, endereço e telefone do cliente para a Secretaria da Fazenda e Planejamento (SEFAZ). Se a venda for no delivery, o entregador tem contato com essas informações. Caso a lojista use ferramentas de CRM, o provedor do software, mesmo indiretamente, também terá esse acesso. E toda essa jornada de movimentação precisa ser reportada e consentida pelo consumidor, sabendo que a finalidade da coleta de dados é poder realizar a entrega do pedido.

Outro ponto relevante é identificar as portas de entrada do dado: o pedido é feito via comanda no balcão? O atendente lança no sistema? Ele também chega via WhatsApp? No consentimento, isso tem que estar explícito. Se você tem autorização para armazenar no software, mas não tem para repassar a nota impressa para um entregador, por exemplo, pode ser autuado.

Resumindo, é essencial construir um fluxo apontando cada processo e identificar se um mesmo dado está entrando por fontes diferentes. Também está previsto na lei, só pedir informações realmente úteis. Voltando a loja, faz diferença para a operação saber se quem compra é advogado ou médico? Se a resposta for não. A coleta desta informação é desnecessária.

Vale ressaltar que por menor que o negócio seja, é importante criar uma política de privacidade e deixá-la acessível para consumidores e funcionários. Não sabe por onde começar? Um caminho seguro é seguir as normas da ISO 27001, que reúne um excelente manual de boas práticas sobre segurança da informação.

E, por fim, invista em treinar o seu público interno, conscientizando todos sobre a importância da lei, o compromisso com os clientes e repassando um plano de ação para casos de vazamento, mostrando qual a conduta correta e quais autoridades precisam ser notificadas.

Se a LGPD entrará mesmo em vigor no início de 2021, ainda não sabemos – até lá novas mudanças podem surgir. Mas é certo que teremos uma legislação para regulamentar a gestão de dados de pessoas físicas e as PMEs, que têm menos poder de investimento em consultorias especializadas, devem começar já esse trabalho de adequação – mesmo porque uma multa, em alguns casos, pode representar o fim do negócio.

*Juliane Borsato Beckedorff Pinto é consultora de pós-venda da ao³.

Facebook
Twitter
LinkedIn