As pequenas e médias empresas representam uma parcela muito importante na economia do Brasil. De acordo com pesquisas realizadas no mercado,  pelo menos 25% dos micro, pequenos ou médios empreendedores do país não têm conhecimento sobre as particularidades da Lei Geral de Proteção de Dados e que apenas 40% dos pequenos e médios empresários estão preparados para a lei que regulará o uso de dados pessoais no Brasil.

Atualmente, o Brasil conta com 6,4 milhões de empresas. Desse total, segundo o Sebrae, 99% é formado por pequenas empresas. O universo empreendedor das PMEs, que se estende por todas as regiões e segmentos, vive um momento de forte transformação digital, principalmente impulsionado pela pandemia do coronavírus.

Assim como esse processo de digitalização tem representado um grande desafio para os pequenos e médios negócios, o mesmo deve acontecer na adequação das empresas para que estejam em conformidade com as exigências da LGPD.

A realidade é que as ameaças digitais efetivamente incidem sobre o universo PMEs. Mais do que revolucionar a privacidade dos dados da pequena empresa, a LGPD será a métrica pela qual grandes corporações irão medir seus prestadores de serviços. Isso promete diminuir consideravelmente a quantidade de pequenos e médios negócios que estão no mercado e que não possam garantir a segurança e a integridade dos dados de seus clientes.

Por essa razão, a melhor maneira de evitar problemas é definir com exatidão em qual patamar a empresa se encontra atualmente e tomar as ações corretivas necessárias. O processo passa obrigatoriamente por um mapeamento e análise no uso de informações pessoais. 

Ou seja, dados, como nome, RG, CPF, e-mail e endereço, fotos, dados corporais, dados financeiros, todos são considerados pessoais e devem ser manipulados de forma segura para garantir a privacidade de seus detentores. Se analisarmos uma condição típica das micro e pequenas empresas, as informações serão bem limitadas e estarão geralmente na folha de pagamento, no sistema de TI e nos contratos, que podem ser com clientes ou fornecedores, ou seja, a complexidade tende a ser menor. Entretanto, não podemos esquecer das empresas com estruturas pequenas, como as startups de tecnologia, mas que têm em sua essência de negócio grande quantidade de informações pessoais, ou seja, mesmo com esse porte, esse tipo de startup estará bastante exposto por possivelmente trabalhar com perfis, tendências, comportamentos, etc.

Internet

Outros pontos que devem ser avaliados são website, páginas em mídias sociais, comércio eletrônico e marketing digital, pois são passíveis da coleta de informações pessoais do internauta, seja por meio de cookies ou cadastros. Vale lembrar que endereço IP, localização e apelido também são considerados dados pessoais. Assim a melhor alternativa é se cercar de todas as garantias e manter os dados criptografados. 

Logicamente, o cuidado na manipulação deve ser estendido em ações comuns no ambiente físico da empresa, ou seja, coleta de dados para um posterior envio de material promocional por e-mail. Essas informações não podem ficar largadas no caixa, permitindo o acesso de qualquer pessoa. Outro ponto é a utilização de urnas transparentes em promoções e sorteios, que deve ser revista, pois os dados da pessoa podem ficar à vista. Até mesmo o oferecimento de acesso ao wi-fi da empresa tem de ser mais bem avaliado, pois, em muitos casos, é solicitado um cadastro inicial.

Diante de tal realidade, a regra de ouro é somente obter dados pessoais quando forem estritamente necessários. Em uma pesquisa de mercado, por exemplo, é realmente preciso saber se o cliente se chama João ou José e estar de posse dos números de seus documentos pessoais? Ou incluir questões genéricas, que preservam a privacidade do pesquisado, já se mostra o suficiente? Muitas vezes, perguntas como bairro, hábitos de consumo, faixa etária, motivações e avaliação do atendimento garantem a qualidade do trabalho desenvolvido e o anonimato do participante.  

Dados internos

A área de Recursos Humanos deve receber uma atenção especial. Além do recrutamento, processo considerado crítico em razão dos currículos contarem com todas as informações pessoais do candidato, dados sensíveis podem estar presentes no RH, como os nomes, endereços e documentos de dependentes menores de idade de colaboradores, bem como a ficha de jovens aprendizes. Dessa maneira, pontos que necessitam maior cuidado são o banco de CVs, dados fornecidos a administradoras de benefícios, como planos de saúde e odontológicos, informações enviadas para entidades de classe e órgãos públicos e exames admissionais. Ademais, importante ressaltar que o descarte dessas informações precisa ser consciente, é preciso ter a preocupação de picotar os documentos (se físico), e deletar completamente de qualquer pasta (se eletrônico). Algumas empresas europeias foram punidas em razão de colocarem no lixo comum informações sobre seus clientes.

A preocupação deve ser estendida a contratos e outros documentos comuns ao relacionamento comercial, que contenham informações sobre os sócios e, muitas vezes, os contatos de compradores e vendedores, como telefone, e-mail e nome completo. Apesar desses dados poderem estar disponíveis na internet, o empresário deve lembrar que não necessariamente essas informações foram obtidas de forma lícita.

Importância da equipe

O impacto da LGPD em micro e pequenas empresas será concentrado no mapeamento e na análise de todos os riscos e correções que precisam ser implementadas. No entanto, é preciso ressaltar que a redução no nível de exposição passa também pela orientação interna. Os colaboradores das empresas devem conhecer as regras de proteção de dados adotadas e estar conscientes do papel desempenhado na manutenção da segurança dessas informações. Isso porque a tendência é que a denúncia seja o principal motivador para o processo de apuração de possíveis desvios de conduta. Em outras palavras, o descaso do dia a dia pode causar prejuízos irreparáveis à organização.

Apesar da primeira sanção às empresas infratoras ter início por uma simples advertência, com prazo para a adoção de medidas corretivas, a lei prevê penalidades pesadas. A multa simples estabelecida é de até 2% do faturamento líquido, limitado a R$ 50 milhões por infração, seguida por multa diária. Além disso, a empresa ficará obrigada a publicar a infração cometida, bloquear os dados pessoais referentes a infração até a devida regularização e eliminar os dados pessoais referentes à infração.

Portanto, não há dúvidas de que micro e pequenas empresas precisam estar de acordo com a LGPD, e devem começar a se adequar desde já, uma vez que clientes já podem ingressar com ações contra as empresas.

Quer saber mais sobre esses assuntos? Acompanhe e gente nas redes sociais:

• Instagram
• Facebook
• LinkedIn
• YouTube