A LGPD (13.709/2018) foi promulgada com intuito de regular a privacidade dos indivíduos uma vez que os avanços tecnológicos e a massificação das informações alargaram a definição clássica de privacidade para proteger também os dados pessoais. Essa nova ordem social demandou um aprimoramento da regulação jurídica. Tramita no Congresso uma proposta de Emenda Constitucional para incluir a proteção dos “dados pessoais” no rol de direitos fundamentais do cidadão. No plano infraconstitucional coube à LGPD a materialização de tais regras protetivas, mediante atribuição de deveres de controle e gestão do ciclo de vida dos dados pessoais.
No texto original da LGPD haviam apenas duas disposições aplicáveis às PMEs. A primeira trata da dispensa da nomeação de um responsável nas empresas para figurar como interlocutor entre a empresa, o titular de dados e as autoridades (§3º do Art. 41). A outra versa sobre adaptação da governança de acordo com a estrutura, volume de operação e a sensibilidade dos dados tratados (§2º do Art. 50). O maior ou menor de nível exigência dos programas de gestão estão atrelados com a estrutura, operação e tipo de dado tratado. Com a promulgação da Lei 13.853/2019, a LGPD foi alterada para introdução, dentre outras disposições, o Artigo 55-J que endereçam regras específicas para PMEs nos incisos VIII e XXVII. O inciso VIII dispõe sobre o controle de dados exercidos de acordo com as especificidades da atividade e o porte dos responsáveis. O inciso XXVII determina que a Autoridade Nacional de Proteção de Dados (ANPD) edite orientações e procedimentos simplificados e diferenciados para que microempresas, empresas de pequeno porte e startup se adequarem a lei.
Podemos concluir que o fator determinante para simplificação dos procedimentos não é apenas o porte da empresa, mas também o volume e o tipo de dados tratados. Isto é, ainda que se trate de uma microempresa, mas que em sua atividade principal realize tratamento de dados sensíveis haverá maior nível de exigência de conformidade.
Tomando-se por premissa PMEs cuja atividades não tenham alto volume de tratamento de dados recomenda-se a implantação de um sistema de controle passando-se pelas seguintes fases:
- PREPARAÇÃO > 2. AVALIAÇÃO > 3. IMPLEMENTAÇÃO > 4. GESTÃO
A preparação consiste na identificação de quais dados pessoais sua empresa coleta, acessa, produz, transmite, processa, armazena, arquiva, classifica, modifica, compartilha, elimina para relacioná-los com o origem como clientes, funcionários e fornecedores. Em seguida deve-se identificar o porquê e quem são os destinatários dessas informações (própria empresa, compartilha ou ambos). De posse dessas informações iniciais denominada mapeamento é possível criar o registro do fluxo do ciclo percorrido do dado tratado (Art. 37). Cada área deve elaborar seu fluxograma, por exemplo, o RH deve registrar os dados desde o momento em que solicita aos candidato, passando pela inserção no sistema, compartilhamento com parceiros como contabilidade, empresa de vale transporte, seguro saúde, medicina e segurança do trabalho, bancos etc até o arquivamento dos dados ao término do contrato de trabalho.
Esta primeira etapa fornecerá subsídios para elaboração da avaliação onde os dados serão classificados (comum ou sensível; público, privado ou confidencial), qual a base legal para cada tipo de tratamento (qual finalidade, adequação, necessidade, arquivamento, compartilhamento etc), local e forma de armazenamento (servidor próprio, de terceiro, uso de criptografia), a identificação das vulnerabilidades (segurança da informação) e as respectivas medidas de mitigação. No próximo texto falaremos sobre a etapa da avaliação.
Danilo Yoshiaki Fujita
Advogado Corporativo. Mestre pela USP. Especialista em direito empresarial pela
PUC/SP e especializando em direito e tecnologia da informação pelo PECE/POLI.
linkedin.com/in/danilo-fujita-3739553a