Não conheço, mas sei quem é

Escrito por Pellegrino -

A Lei Geral de Proteção de Dados (LGPD) ainda gera dúvidas entre os proprietários de pequenos negócios, que conhecem a lei, mas enfrentam desafios na aplicação prática

Por Tatiana de Almeida Prado

A LGPD é clara: qualquer empresa, independentemente do porte, precisa proteger os dados pessoais que coleta. Publicada em 2018, implementada em 2020 e com penalidades aplicadas desde 2021, a legislação ainda não é muito popular entre os pequenos varejistas. O levantamento Maturidade em Privacidade nos Pequenos Negócios, realizado pelo Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae), trouxe dados relevantes sobre o nível de preparo dos empreendedores para lidar com dados de clientes. Embora 80% dos empreendedores afirmarem já terem ouvido falar da LGPD, apenas 5% conhecem a lei a fundo, e 77% ainda não tomaram nenhuma providência para colocá-la em prática dentro da empresa.

“Apesar de, no início, a LGPD ter causado certo estranhamento e até ter sido vista por algumas empresas como um entrave, principalmente em um cenário econômico em que dependemos cada vez mais de dados para oferecer produtos e serviços mais adequados ao consumidor, o seu objetivo não é impedir a utilização de dados, mas sim regulamentar a prática”, explica Carolina Prado, analista da Unidade Jurídica do Sebrae Minas.

A analista destaca que a LGPD atua para garantir o uso transparente, seguro e ético das informações pessoais. “Qualquer empresa que utilize dados pessoais com fins lucrativos precisa se adequar à legislação. Além de ser uma exigência legal, estar em conformidade contribui para um ambiente mais favorável ao crescimento da economia e do próprio negócio.”

Ter um alto nível de confiança quanto à proteção dos dados pessoais pode ser uma vantagem competitiva. “A maior parte dos negócios que se adequaram até agora à LGPD são empresas de médio e grande porte. No entanto, os pequenos negócios fazem parte da cadeia de suprimento dessas organizações. À medida que as empresas maiores se adequam, passam também a exigir conformidade dos seus fornecedores”, diz a analista do Sebrae. Um reflexo disso são os questionários de due diligence, cada vez mais comuns antes da contratação de fornecedores, avaliando aspectos legais como obrigações tributárias, trabalhistas, previdenciárias e, claro, a proteção de dados.

Além do digital

A LGPD não se aplica apenas ao ambiente digital – ela protege dados pessoais no meio eletrônico e físico. Isso inclui também dados dos próprios colaboradores, já que a lei garante a proteção de qualquer pessoa física. “Até mesmo o exame médico de um funcionário esquecido na impressora pode gerar problemas”, alerta Carolina. É preciso proteger a privacidade em qualquer situação. “Um caderno usado para anotar compras fiadas exige cuidado. Se esse caderno for perdido ou exposto, ele pode conter informações como nome, telefone, valor da dívida – e isso configura vazamento de dados”, afirma a analista. Em cidades pequenas, por exemplo, a exposição desses dados pode causar constrangimento ou até discriminação. “Imagina se alguém tira uma foto do caderninho e compartilha num grupo de WhatsApp?”, completa.

Detalhes que parecem banais também exigem atenção, como etiquetas de produtos que contenham CPF ou CNPJ. Carolina cita um caso que ganhou repercussão na imprensa: uma loja reutilizou currículos enviados por candidatos como papel de rascunho para imprimir ofertas. “Esses currículos tinham dados pessoais sensíveis. Por isso, é fundamental fazer o descarte adequado das informações. Não se deve usar qualquer papel como rascunho. O ideal, inclusive, é triturar documentos antes de enviá-los para a reciclagem.”

Além de descartar corretamente os documentos, é importante restringir o acesso a dados apenas a pessoas autorizadas e nunca compartilhar informações com terceiros sem o consentimento do titular. Essa precaução deve ser observada tanto internamente, entre os colaboradores, quanto nas interações com outras empresas.

O setor de Recursos Humanos (RH) costuma ter um controle rigoroso justamente ao lidar com uma grande quantidade de dados sensíveis dos colaboradores. Por isso, o acesso a essas informações deve ser restrito às pessoas que realmente precisam dos dados para desempenhar as suas funções. “Não faz sentido permitir que alguém da área Comercial acesse informações do RH”, reforça Carolina.

Também é recomendado investir em segurança digital. Ataques cibernéticos são uma das principais causas de vazamentos ou roubos de dados. E a segurança deve se estender ao mundo físico: arquivos em papel devem estar armazenados em locais trancados e seguros. “Proteger a informação significa mantê-la disponível, segura contra acessos indevidos e contra destruição acidental ou proposital”, explica a analista.

Quem fiscaliza?

A responsabilidade pela fiscalização da LGPD é da Autoridade Nacional de Proteção de Dados (ANPD), com o apoio de órgãos como os Programas de Proteção e Defesa do Consumidor (Procons) e o Ministério Público, especialmente nos casos que envolvem relações de consumo. A fiscalização pode acontecer por meio de denúncias feitas no site da ANPD ou iniciadas diretamente pelos órgãos competentes.

As penalidades vão desde advertências até multas, passando por sanções como a suspensão do uso de bancos de dados e a obrigatoriedade de tornar público um incidente de vazamento. Além disso, podem haver consequências judiciais, como processos de indenização individuais ou ações coletivas.

Para empresas de pequeno porte, a legislação prevê algumas flexibilidades. Por exemplo, elas não são obrigadas a nomear um data protection officer (DPO) (profissional dedicado a garantir que empresas sigam o seu compliance e as leis de proteção aos dados pessoais) e seus relatórios de adequação podem ser mais simples. No entanto, todas as empresas devem manter o Registro das Atividades de Tratamento (ROPA), documento que detalha como os dados são coletados, utilizados, armazenados e por quem.

Segundo a analista, esse processo de mapeamento exige entrevistas internas com os colaboradores que, além de atender à legislação, também ajuda a melhorar a gestão do empreendimento. “A conscientização dos funcionários é fundamental. A cultura de proteção de dados precisa estar presente no dia a dia da empresa.”

Para começar, o ideal é entender bem o que a lei exige. “O Sebrae oferece diversos conteúdos para ajudar o empreendedor a entender as suas obrigações e as medidas básicas que devem ser adotadas.” Para aqueles que desejam avançar, há consultorias especializadas também oferecidas pelo Sebrae. Mas, mesmo sem grandes investimentos, é possível adotar atitudes básicas, como informar o cliente de forma clara sobre como os seus dados serão usados.

A LGPD prevê que só devem ser coletados dados estritamente necessários, ou seja, aquela ideia antiga de capturar o máximo possível para “ver depois o que vai fazer” já não se sustenta mais. “Se você está coletando dados apenas para a emissão de nota fiscal ou para entrar em contato futuramente com ofertas, isso deve ser informado com clareza. Coletar informações sem uma finalidade definida, além de contrariar a lei, aumenta os riscos para a empresa”, finaliza a analista.