Um dos assuntos mais falados do momento tem sido sobre a LGPD – Lei Geral de Proteção de Dados (Lei 13.709/2018). Atualmente, a Lei tornou-se uma preocupação constante de micro e pequenas empresas sobre a sua adequação.
De acordo com pesquisa do jornal Valor Econômico, essa preocupação se dá ao fato do custo para adequação, que pode variar de R$ 50 mil a R$ 800 mil reais, o que seria inviável para essas empresas.
Nesse contexto, a própria LGPD prevê uma diferenciação ao declarar que a Autoridade Nacional de Proteção de Dados (ANPD) irá “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte [..] possam adequar-se a esta Lei” (Art. 55-J, LGPD).
E como fica a situação das micro e pequenas empresas?
A ANPD incluiu em sua agenda regulatória um item específico para tratar da “proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos, com o objetivo de regulamentar o art. 55-J, inciso XVII.
Como mencionado anteriormente, a ANPD deu início a tomada de subsídios sobre o tema em 29 de janeiro de 2021 e submeteu a minuta de resolução à consulta pública no último dia 30 de agosto. Em seguida, no dia 4 de outubro, a ANPN lançou mais um guia orientativo, intitulado “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”.
No documento, a autoridade sugeriu alguns padrões técnicos mínimos de segurança para que as micro e pequenas empresas – além de startups – possam usufruir para proteger os dados pessoais sob a guarda de suas empresas.
O guia, contudo, menciona que “as medidas sugeridas devem ser entendidas como boas práticas e devem ser complementadas com outras que possam ser identificadas como necessárias para promover a segurança no fluxo informacional da organização”.
O que isso quer dizer?
Todas essas informações são sugestões que devem ser complementadas para promover a segurança no fluxo informacional das empresas. O guia é dividido em Medidas Administrativas, Medidas Técnicas e recomendações para dispositivos móveis e serviços na nuvem.
Entre as medidas administrativas citadas pelo guia estão:
- Política de Segurança da Informação;
- Conscientização e Treinamento;
- Gerenciamento de contratos.
Enquanto isso, as medidas técnicas citadas pelo guia fazem menção a/ao:
- Controle de acesso baseado na necessidade de acesso aos dados pessoais;
- Segurança dos dados pessoais armazenados, que ressalva a observação da necessidade na coleta de dados;
- Segurança nas comunicações com a utilização de protocolos seguros, como TLS/HTTPS;
- Manutenção de programa de gerenciamento de vulnerabilidades.
Nesse caso, é sempre bom ter em mente que, mesmo com as flexibilizações para os chamados agentes de tratamento de pequeno porte, os princípios da LGPD previstos no art. 6º devem ser respeitados, bem como as hipóteses de tratamento, conforme art. 7º.
Quando falamos em LGPD, não podemos deixar de mencionar que a literatura é contundente ao afirmar que na era do Big Data não existem dados inofensivos. É nesse contexto que se faz necessário que os empresários se adequem à lei e comecem a pensar em ações para o correto tratamento de dados pessoais.