Em vigor desde setembro de 2020, a Lei Geral de Proteção de dados, ou LGPD, chega ao Brasil com o foco em preservar e proteger os dados pessoais e sensíveis dos brasileiros. E ela traz mudanças para as empresas, inclusive aos MEIs.
Inspirada na GDPR (General Data Protection Regulation, na tradução livre do inglês), regulamentação europeia de 2016, a LGPD precisa ser tratada com atenção pelos empreendedores, pois trará dores de cabeça e consequências indesejáveis para quem não se adequar corretamente.
Mas e você que é MEI, já sabe do que se trata essa lei? Sabe como ela impacta o seu negócio?
Se ainda não está por dentro do assunto ou possui algumas dúvidas, fique tranquilo, elaboramos esse artigo para te explicar tudo sobre a LGPD para o MEI e como se adequar para não ser penalizado.
E para isso, realizamos uma entrevista com a Caroline Segura, gerente de Compliance e Riscos Operacionais da MEI Fácil. A partir das principais perguntas sobre o assunto, ela faz um resumo da LGPD.
Vem com a gente!
O que são os dados pessoais e sensíveis?
Dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. Exemplos: nome, CPF, e-mail, telefone, endereço etc.
Dados pessoais sensíveis: são dados originalmente reservados somente para aquele indivíduo e que estão sujeitos a condições de tratamento específicas.
Basicamente aqueles dados que podem levar a discriminação de uma pessoa. Exemplos: origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas; dados relacionados com a saúde; dados relativos à vida sexual ou orientação sexual da pessoa.
Qual a importância e necessidade de proteger os dados?
Os dados, para qualquer empresa, são valiosos e precisam ser protegidos e mantidos em segurança, até mesmo porque cada vez mais cresce a utilização de dispositivos digitais e de transações online que podem aumentar o risco de perda de dados, de roubo de informações e vazamento de dados e indisponibilidade de serviços.
Os dados são fundamentais para a sobrevivência e sucesso de uma empresa.
O que é LGPD e por que ela foi criada?
A lei tem o objetivo de estabelecer padrões mínimos a serem seguidos quando ocorrer o uso de um dado pessoal, como a limitação a uma finalidade específica e a criação de um ambiente seguro e controlado para seu uso.
A LGPD busca garantir ao cidadão protagonismo nas decisões fundamentais a este respeito.
O MEI tem alguma relação com a LGPD?
A lei diz que, se você coleta informações de pessoas, sejam elas de clientes ou não, você já precisa se adequar as regras desta lei, então, não importa em que ramo de atividade que você esteja no Brasil, se você coleta dados pessoais, você precisa ajustar seus processos e ter controles sobre as informações.
Claro que há exceções, como o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Neste caso, o assunto deverá responder a uma legislação específica.
A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
Quais os impactos da LGPD nos negócios do MEI e como se adequar à lei?
Para todas as empresas que coletam dados pessoais, será necessário adequar seus processos, sistemas e contratos para estarem aderentes.
É importante que seja identificado, desde o primeiro momento de coleta destas informações:
- A finalidade do seu uso;
- Quem poderá ter acesso aos dados e por qual motivo;
- Transparência para que o titular saiba como seus dados estão sendo tratados e que eles possam exercer seus direitos, que basicamente vão desde ao conhecimento de todos os dados que a empresa esteja em posse, até sua solicitação sobre excluir, modificar ou revogar o consentimento desses dados.
Vale a pena a leitura dos dez princípios da LGPD, decretados e sancionados pelo Governo.
É importante que a empresa crie um canal de comunicação com seus titulares e com a Autoridade Nacional de Proteção aos dados – órgão do governo responsável por fiscalizar as regras.
É preciso estruturar diversos processos e procedimentos da empresa para atendimento a seus direitos.
A ANPD (Autoridade Nacional de Proteção aos Dados), também solicita alguém responsável pela LGPD na empresa, mais conhecido como DPO (termo em inglês para profissional responsável pela proteção de dados dentro da empresa, garantindo a segurança das informações), conforme explicado.
Embora não seja especificado quem deva ser o responsável, é importante que seja um colaborador que tenha uma visão abrangente da empresa e que possa tomar decisões sobre o tema.
Quais são as penalidades em caso descumprimento?
- Bloqueio ou eliminação dos dados pessoais ao qual se refere a infração, até a regularização da atividade.
- Multa simples, de até 2% do faturamento anual, limitada a R$ 50 milhões por infração.
- Risco reputacional – publicação da infração após devidamente apurada e confirmada a sua ocorrência.
A primeira penalidade trazida pela lei é a advertência: a advertência vem acompanhada da indicação de prazo para a adoção de medidas corretivas. A não adoção de medidas no prazo indicado pode configurar nova infração e resultar em uma sanção mais rígida para a empresa.
A segunda sanção à qual a lei se refere é a multa simples. O valor da multa pode chegar em até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos – mas é limitada o total de R$ 50 milhões por infração.
Devemos nos atentar ao “por infração”: ainda não há certeza se a Autoridade irá considerar como uma única infração, mas podemos pensar em infração como cada incidente ou cada dispositivo violado da lei em um único incidente.
Há ainda aqueles que arriscam mais alto e entendem que poderia ser, inclusive, o valor pago por cada dado vazado, por exemplo – ainda que pareça improvável, não é impossível.
Além da multa simples, o art. 52 traz uma outra modalidade de multa: a multa diária, observando o mesmo limite colocado na multa simples. Essa possibilidade assusta, considerando que, mesmo com esse teto, a possibilidade de aplicação de multa diária pode significar um prejuízo considerável para o infrator – podendo, de fato, atingir de forma significante o faturamento até mesmo de empresas que talvez R$ 50 milhões, por si só, não represente um grande impacto econômico.
Ainda que as multas ganhem destaque entre as infrações, é importante considerarmos que os danos indiretos podem ser maiores do que os danos diretos. Como alguns exemplos:
- Perda de valor da marca;
- Impactos na confiança dos clientes e investidores;
- Desvalorização de ativos e perda de contratos
Por isso, a publicação talvez traga maior impacto que a multa, dependendo da natureza da infração e do ramo do negócio. Ela está entre as sanções dispostas no art. 52, e só pode ser aplicada após a devida apuração do caso e confirmação da ocorrência.
Por último, temos outras duas formas de sanções que impactam o negócio também de forma indireta e podem significar uma paralisação parcial de operação e perda de ativo:
- O bloqueio dos dados pessoais referentes à infração (até a devida regularização);
- A eliminação dos dados pessoais referentes à infração.
Todas as sanções mencionadas somente serão aplicadas após procedimento administrativo que assegure a ampla defesa do acusado.
Serão consideradas peculiaridades do caso concreto e a lei traz alguns parâmetros e critérios para a avaliação daquilo que será aplicado.
Veja um vídeo que produzimos para te ajudar a entender melhor o tema:
Existem orientações diferentes para o MEI e empresas de grande porte?
A princípio todos devem se adequar à lei por igual: pequenas, médias e grandes empresas.
As pequenas empresas o desafio certamente pode ser maior por ausência de recursos para esta adequação.
Na prática, como você deve agir para não violar a privacidade dos clientes?
1) É essencial entender quais dados pessoais você coleta e por qual motivo
Você deve saber quais informações pessoais coleta e se alguma delas é sensível. Você também deve se perguntar:
- De onde vêm as informações?
- Qual é o motivo para a realização dessa coleta?
- O que você está fazendo com isso?
Sua empresa deve ser capaz de responder a essas perguntadas caso seja solicitado pelo titular dos dados ou pelo órgão regulador.
2) Entender se existe consentimento
A menos que você tenha motivos legais para usar dados pessoais, os indivíduos devem dar seu consentimento. Ele deve ser:
- Disponibilizado livremente;
- Específico;
- Informado;
- Não ambíguo.
Você deve manter um registro por escrito do consentimento. Também, é preciso fazer com que a retirada do consentimento seja rápida e fácil.
3) Garantir a segurança desses dados
Sua empresa é responsável pelos dados pessoais que ela coleta. E você corre o risco de ser multado se esses dados caírem em mãos erradas.
A falta de cultura de segurança dos funcionários, somada à ausência das corretas soluções de proteção, fazem da pequena empresa um alvo perfeito para os cibercriminosos. Assim, para garantir conformidade, é preciso:
- Usar software de criptografia ao armazenar ou transmitir dados pessoais online;
- Proteger sua rede. Os funcionários descuidados são a principal causa de violações de dados. Portanto, uma política de TI sólida é essencial. Você também deve investir em software de segurança, incluindo um firewall;
- Criar avisos de política de privacidade e cookies compatíveis com a LGPD;
- Usar um sistema DLP (Data Loss Prevention), confiável;
- Proteger seus e-mails evitando ataques de phishing/ransomwares;
- Verifique seus fornecedores quanto à conformidade com a LGPD.
4) Quando houver uma violação grave sobre a lei
Você deve relatar violações graves ao regulador dentro de 72 horas ou corre o risco de ser multado.
Assim, verifique se você possui procedimentos de relatório em vigor. Além disso, o mais importante é treinar seu funcionário para:
- Estar atento à possíveis violações;
- Entender o que é uma violação grave;
- Reconhecer bandeiras vermelhas.
Então, deu para entender o que é a LGPD e como adaptá-la à sua MEI?
São muitas informações e detalhes, ambos importantes. Por isso, assim que tivermos novidade sobre o tema, compartilharemos em nossos canais, tudo em primeira mão!
Se inscreva-se na TV MEI Fácil e acompanhe as redes sociais para não perder nenhuma novidade: Instagram e Facebook.
