LGPD para Startups e PMEs

  • por

Se você é CEO de uma Startup ou proprietário de um micro ou pequeno negócio, deve estar estar “puxando os cabelos” com tanto anúncio de Soluções para LGPD (ou não, se ainda acha que esta lei não se aplica ao seu negócio). 

Se você se identifica com a frase acima, pare e leia este artigo… Vou te auxiliar apresentando um roteiro inicial para que você possa dar seus primeiros passos rumo a adequação de sua empresa. Vamos lá:

01. LGPD é boas práticas 

Independente de alguma lei, a informação de seu negócio deve SEMPRE estar protegida. Isto deve ser parte da cultura da empresa. 

Existem vários frameworks de segurança da informação com as melhores práticas de segurança, sendo o mais conhecido o ISO 27001 e que ganhou um novo “irmão”, o ISO 27701, que foca na Privacidade dos Dados.

“Mas, péra aí: Eu preciso certificar minha empresa no ISO 27001???”

Não, mas deve ter no seu negócio processos focados na segurança dos dados pessoais e que possam minimizar o risco de vazamento.

ISO 27001 é um guia e não mandamentos gravados na pedra, que precisam ser totalmente implementados.

02. LGPD e Segurança da Informação são Processos

Nâo adianta contratar uma consultoria de segurança da informação para implantar a LGPD se não houver uma continuidade, melhorando os processos continuamente e atuando em novos riscos. Além do custo – que será altíssimo – a consultoria irá adotar a ISO 27001 como base para a LGPD.

Minha sugestão: Assuma VOCÊ as rédeas desta implantação… Afinal, é o SEU NEGÓCIO! Esqueça as consultorias que oferecem uma “Bala de Prata” e irão cobrar “Um balde de Ouro”. Contrate UM profissional com certificação DPO (o custo será mais em conta) para te auxiliar no diagnóstico inicial e que coordene com os seus diretores e gerentes a implantação das mudanças. 

03. Contrate um DPO “Virtual”

Sendo uma PME, você não está com dinheiro de sobra para ter um profissional de segurança da informação, ao custo mensal de R$ 20k (se for CLT com um salário médio de R$ 10k).

Diferente da GDPR, a “Prima Rica” da LGPD, A LGPD permite que o “Encarregado de Dados Pessoais” seja uma pessoa jurídica. 

Contrate um profissional (novamente, evite as grandes consultorias ou MSSPs, que são serviços gerenciados de segurança), pois o custo para a sua empresa será bem menor. Para esta contratação, recomendo os seguintes prereqs:

  • Este profissional deve ter uma agenda semanal, de 4 horas, para atuar in-loco com seus gestores;
  • Este profissional não deve ser somente o “Encarregado de Dados Pessoais”, mas no escopo do contrato deve também constar a atuação como Security Officer. Isto irá ampliar a atuação e garantirá a continuidade das atividades de implementação de processos.
  • Foque em Processos e não em ferramentas – Não adianta nada ter ferramentas se não há processos suportando o uso das mesmas.

Este profissional deve ter um custo, como PJ, na casa de R$ 4-6k, o que acaba cabendo em um orçamento apertado de uma PME.

04. Foque em atender as exigências da LGPD

A LGPD, em seu artigo 5, dispõe sobre o “relatório de impacto à proteção de dados pessoais”. Parece ser um documento simples, mas não é, infelizmente.

Para chegar neste documento final, você vai precisar:

  • Mapeamento dos dados pessoais – onde são armazenados, qual a base legal utilizada para armazenar, qual a segurança aplicada no armazenamento.
  • Depois de mapeados os dados, é necessário identificar quais não possuem base legal para o armazenamento e se há o consentimento do titular para este armazenamento.
  • Identificados estes dados e seus locais de armazenamento, torna-se necessária uma análise de risco sobre os dados pessoais.
  • Por último, as informações de tratamento dos mesmos.

Uma outra exigência da LGPD são os Direitos dos Titulares dos Dados. A sua empresa NÃO é mais a proprietária dos dados pessoais (na realidade, nunca foi, mas era uma área cinzenta na legislação). Segundo a LGPD, os proprietários possuem 9 direitos que devem ser seguidos:

Confirmação e Acesso aos Dados: O dono tem o direito de confirmação da existência de tratamento e, por consequência, acessar todos os seus dados pessoais que estão sendo coletados e tratados pelo controlador.

Retificação: Os titulares tem o direito de corrigir dados incompletos, inexatos ou desatualizados.

Restrição de tratamento: Os titulares possuem o direito de restringir o tratamento de dados pessoais, por meio da recusa em fornecer o consentimento.

Cancelamento ou Exclusão: O dono tem o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Portabilidade: O titular tem o direito de transferir os seus dados pessoais de um controlador para outro.

Revogação de Consentimento: o titular dos dados pode revogar a autorização para o tratamento de seus dados pessoais a qualquer momento, bastando uma manifestação expressa, por procedimento gratuito e facilitado.

Oposição: O dono tem o direito de se opor a quaisquer tratamentos e informações que não estejam em conformidade com a lei, assim como as decisões automatizadas que afetem seus interesses, como decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Explicação: O titular dos dados tem direito a receber informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados pelo controlador para a tomada de decisão com base em tratamento automatizado de dados pessoais.

Direito à informação: O titular tem o direito de receber informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

Veja a importância de um mapeamento de dados pessoais bem realizado. Sem ele você não conseguirá responder os questionamentos do usuário sobre os dados e as bases legais utilizadas para o armazenamento.

05. Processos, processos, processos….

A segurança da informação deve ser parte integrante de todos os processos de sua empresa. Seus processos já devem nascer com a “Privacidade em Primeiro Lugar” (Privacy by Deafult) e a coleta de dados deve seguir o preceito de Privacy by Design, ou seja, coletar somente as informações que realmente são necessárias.

Estes processos precisam de adequação e, o principal, conscientização da importância por parte de seus funcionários.

A Comunicação e Conscientização dos funcionários é a parte mais difícil dos processos…. O ser humano é avesso a mudanças e, sem um plano de comunicação bem planejado, a resistência será enorme.

99. Em Resumo….

Resumindo os passos acima:

  • Contrate um DPO (pode ser full-time ou part-time)
  • Nomeie seu DPO: Divulgue em seu site e em comunicado para seus clientes a existência dele e passe os dados de como entrar em contato (um form web ou um e-mail)
  • Crie um Comitê de Compliance formado pelos seus diretores e/ou gerentes principais e que serão o “braço” do DPO dentro da empresa
  • Realize o Mapeamento dos dados pessoais
  • Faça uma análise de impacto sobre estes dados pessoais
  • Crie seu relatório de impacto sobre dados pessoais.
  • Crie processos para atender os direitos dos titulares dos dados.

Realizada as atividades acima, foque em incluir a Segurança nos seus processos, sempre lembrando nos conceitos “Privacy by design” e “Privacy by Deault”.

Lembra da ISO 27001 e 27701 citadas acima? Elas virão naturalmente quando você iniciar a inclusão da segurança nos seus processos.

E, se tiver alguma dúvida, pode entrar em contato via INBOX ou e-mail: [email protected]

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *