O prazo ainda se mostra bastante distante, 20 de agosto de 2020. No entanto, os varejistas precisam ficar atentos sobre o impacto da Lei Geral de Proteção de Dados (LGPD) em suas operações, principalmente no caso das micro e pequenas empresas. Isso porque existe a falsa impressão que o nível de exposição de empreendimentos com esse perfil aos rigores da lei é baixo. Ledo engado, todas as organizações, em maior ou menor grau, acabam coletando dados pessoais, sejam de clientes, empregados ou fornecedores. Dessa maneira, a preocupação em se adequar deve ser de todos, principalmente tendo em vista as penalidades previstas.

Logicamente, a exposição dependerá das estratégias adotadas pela organização. Por essa razão, a melhor maneira de evitar problemas é definir com exatidão em qual patamar a empresa se encontra atualmente e tomar as ações corretivas necessárias. O processo passa obrigatoriamente por um mapeamento e análise no uso de informações pessoais, como explica Jefferson Kiyohara, diretor de Compliance na ICTS Protiviti. Ou seja, dados, como nome, RG, CPF, e-mail e endereço, são considerados pessoais e devem ser manipulados de forma segura para garantir a privacidade de seus detentores. “Se formos pegar uma condição típica das micro e pequenas empresas, as informações serão bem limitadas e estarão geralmente na folha de pagamento, no sistema de TI e nos contratos, que podem ser com clientes ou fornecedores”, exemplifica. Em sua opinião, a complexidade tende a ser menor. Entretanto, ele cita casos de empresas com estruturas pequenas, como as startups de tecnologia, que têm em sua essência de negócio grande quantidade de informações pessoais. “Mesmo com esse porte, esse tipo de startup estará bastante exposto por possivelmente trabalhar com perfis, tendências, comportamentos etc.”.

Impacto da LGPD nas micro e pequenas empresas poderá ser maior que o imaginado.

Internet

Outros pontos que devem ser avaliados são website, comércio eletrônico e marketing digital, pois são passíveis da coleta de informações pessoais do internauta, seja por meio de cookies ou cadastros. Vale lembrar que endereço IP, localização e apelido também são considerados dados pessoais. Assim a melhor alternativa é se cercar de todas as garantias e manter os dados criptografados. Jefferson aconselha a contratação de provedores de renome em razão do nível de segurança proporcionado.

Logicamente, o cuidado na manipulação deve ser estendido em ações comuns na loja física, como coleta para um posterior envio de material promocional por e-mail. “Essas informações não podem ficar largadas no caixa, permitindo o acesso de qualquer pessoa”, ressalta. “A utilização de urnas transparentes em promoções e sorteios também precisa ser revista, pois os dados da pessoa podem ficar à vista”. Até a mesmo o oferecimento de acesso ao wi-fi da loja tem de ser mais bem avaliado, pois, em muitos casos, é solicitado um cadastro inicial.

Diante de tal realidade, a regra de ouro é somente obter dados pessoais quando forem estritamente necessários. Em uma pesquisa de mercado, por exemplo, é realmente preciso saber se o cliente se chama João ou José e estar de posse dos números de seus documentos pessoais? Ou incluir questões genéricas, que preservam a privacidade do pesquisado, já se mostra o suficiente? Muitas vezes, perguntas como bairro, hábitos de consumo, faixa etária, motivações e avaliação do atendimento garantem a qualidade do trabalho desenvolvido e o anonimato do participante.  

O descarte de itens, desde uma simples listagem impressa até um HD, deverá receber atenção por poder conter dados pessoais de clientes e fornecedores.

Dados internos

A área de Recursos Humanos deve receber uma atenção especial. Além do recrutamento, processo considerado crítico em razão dos currículos contarem com todas as informações pessoais do candidato, dados sensíveis podem estar presentes no RH, como os nomes, endereços e documentos de dependentes menores de idade de colaboradores, bem como a ficha de jovens aprendizes. Dessa maneira, pontos que necessitam maior cuidado são o banco de CVs, dados fornecidos a administradoras de benefícios, como planos de saúde e odontológicos, informações enviadas para entidades de classe e órgãos públicos e exames admissionais. “O descarte dessas informações precisa ser consciente”, adverte Jefferson. “É preciso ter a preocupação em picotar os documentos”. Algumas empresas europeias foram punidas em razão de colocarem no lixo comum informações sobre seus clientes.

A preocupação deve ser estendida a contratos e outros documentos comuns ao relacionamento comercial, que contenham informações sobre os sócios e, muitas vezes, os contatos de compradores e vendedores, como telefone, e-mail e nome completo. “Apesar desses dados poderem estar disponíveis na internet, o empresário deve lembrar que não necessariamente essas informações foram obtidas de forma lícita”, alerta Jefferson.

Importância da equipe

O impacto da LGPD em micro e pequenas empresas será concentrado no mapeamento e na análise de todos os riscos e correções que precisam ser implementadas. No entanto, é preciso ressaltar que a redução no nível de exposição passa também pela orientação interna. Os colaboradores das empresas devem conhecer as regras de proteção de dados adotadas e estar conscientes do papel desempenhado na manutenção da segurança dessas informações. Isso porque a tendência é que a denúncia seja o principal motivador para o processo de apuração de possíveis desvios de conduta. Em outras palavras, o descaso do dia a dia pode causar prejuízos irreparáveis à organização.

Apesar da primeira sanção às empresas infratoras ter início por uma simples advertência, com prazo para a adoção de medidas corretivas, a lei prevê penalidades pesadas. A multa simples estabelecida é de até 2% do faturamento líquido, limitado a R$ 50 milhões por infração, seguida por multa diária. Além disso, a empresa ficará obrigada a publicar a infração cometida, bloquear os dados pessoais referentes a infração até a devida regularização e eliminar os dados pessoais referentes à infração.

Vale ressaltar que a última alteração na redação da LGPD, nos casos de vazamentos individuais ou acessos não autorizados a dados pessoais, abriu a possibilidade de conciliação entre as partes e, somente em falta de acordo, a organização estará sujeita a aplicação das sanções previstas na lei.