A Lei Geral de Proteção de Dados (LGPD) entrou em vigor de forma escalonada: após a maioria de seus artigos ter se tornado efetiva no dia 18 de setembro do ano passado, neste mês passam a valer também os itens relativos a sanções administrativas e multas.

Com diversas solicitações de titulares e até mesmo decisões em primeira instância já tomadas com base na lei, a realidade é que, agora, as organizações não têm mais como se abster de proteger dados pessoais, e se existe um segmento que deve encontrar maiores dificuldades para garantir sua conformidade é o de pequenas e médias empresas (PMEs).

Dependendo de sua área de atuação, as PMEs podem ter uma interação muito próxima dos dados e informações privadas de clientes, mas normalmente têm infraestruturas tecnológicas mais simples e algumas vezes vulneráveis. Por isso, muitas delas são alvos interessantes para golpes, fraudes e, claro, tentativas de sequestro ou roubo de dados de clientes.

"A base dos conceitos da Segurança da Informação é o alicerce para a proteção da privacidade. Portanto, gerir adequadamente a cibersegurança é o caminho mais favorável para o atendimento aos requisitos de leis que focam em privacidade e proteção de dados pessoais", afirma Cláudio Dodt, sócio da DARYUS Consultoria e especialista e evangelista em Cibersegurança e Proteção de Dados. "Vale ressaltar que as multas, em caso de descumprimento da LGPD, poderão ser de até 2% do faturamento da empresa e limitada, no total, a R$ 50 milhões por infração. No caso das pequenas e médias empresas, as multas poderão atingir o teto de R$ 4,8 milhões", complementa.

Diante de tantas informações sobre a LGPD, existe uma certa urgência para qualquer empresa iniciar o processo de adequação. Por isso, Dodt indica seis passos essenciais a serem seguidos pelas PMEs:

1) Entendendo o Negócio e os Dados Pessoais

Um primeiro passo essencial na jornada rumo à adequação à LGPD é conhecer os dados pessoais que a empresa trata, afinal, não é possível proteger aquilo que sequer sabemos que existe. Dentre as várias opções, realizar o mapeamento dos dados pessoais é a que se mostra inicialmente mais adequada, já que permite ter uma visão completa de como as múltiplas áreas/processos da organização lidam com dados pessoais no dia a dia. Esse processo vai apoiar o entendimento de pontos críticos que incluem desde possíveis fragilidades de segurança, até outros que podem inviabilizar o atendimento aos direitos dos titulares.

2) Compreenda o nível atual de adequação

Um outro passo muito importante é entender o nível de conformidade da organização com os requisitos da LGPD. Uma forma rápida de compreender a situação da empresa é realizar uma avaliação, costumeiramente chamada de análise de gaps ou assessment. Idealmente o resultado dessa avaliação vai permitir identificar as principais deficiências e servir como base para traçar um plano de adequação.

3) Cuide do planejamento de curto, médio e longo prazo

Se sua empresa ainda está em uma fase inicial de adequação, a dura verdade é que uma violação de dados pessoais de acordo com a LGPD é mais que provável. Aceitar esse fato e entender que nem todos os pontos necessários à conformidade podem ser resolvidos do dia para a noite é algo natural, mas não há motivos para pânico.

Existem algumas ações razoavelmente simples que podem oferecer um ganho significativo, como criar um canal básico para receber solicitações dos titulares ou mesmo uma política de privacidade e proteção de dados pessoais. Essas vitórias rápidas (quickwins) não só ajudam na dinâmica da jornada rumo à adequação, como servem de base para controles mais complexos, que podem levar semanas ou mesmo meses para serem concluídos.

4) Quem é o encarregado?

Não há dúvidas de que ter uma pessoa responsável por apoiar práticas de proteção de dados é algo fundamental para toda organização. O que muitas PMEs, startups e empresas que estão iniciando se questionam é a real necessidade de se ter um encarregado pelo tratamento de dados pessoais.

Em sua redação atual, a LGPD não permite uma flexibilização desse ponto: toda empresa que realiza tratamento de dados pessoais conforme descrito na LGPD precisa apontar um encarregado. O papel do Data Protection Officer (DPO) é apoiar a organização, servindo tanto como canal de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e titulares, quanto evitando a ocorrência de violações de dados pessoais, algo que pode ter um impacto tão severo ao ponto de inviabilizar todo um negócio.

5) Prepare as pessoas na sua organização

No meio de tantas empresas prometendo produtos e tecnologias que agilizam o processo de adequação, o fator humano na proteção de dados pessoais parece ter um papel de coadjuvante. É natural realizar ajustes em tecnologias e processos, mas não se pode esquecer que o pilar central de qualquer organização, independente do seu porte, são as pessoas que a constituem. Investir em conscientização sobre proteção de dados pessoais é provavelmente um dos pontos mais importantes em qualquer projeto de adequação.

6) Se precisar, peça ajuda

Temas como segurança da informação e proteção de dados pessoais já são bem difundidos, e se a organização está tendo dificuldades, pense seriamente em consultar um especialista que pode servir como guia para conformidade à LGPD.