Logo-Data-Security-Aprovado.png

 

 

 

 

fundot.jpg

A LGPD aplicada à Microempresa e Empresa de Pequeno Porte são as sociedades empresárias, sociedades simples e empresário que se enquadram nos termos do art. 3º da Lei Complementar 123/2006, bem como o Microempreendedor Individual. Ou seja, são aquelas empresas que possuem faturamento anual de até R$ 4,8 milhões. Startup, por sua vez, é definida como organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que atendam os critérios da Lei Complementar 182/2021.

 

Segundo as disposições da minuta da resolução, quando for comprovada o porte da empresa ou sua caracterização como startup e, não sendo observada qualquer impedimento, o agente de tratamento, na condição de controlador ou operador,

 

  1. Poderá atender as solicitações dos titulares por meio eletrônico ou digital;
  2. Estará dispensado de conferir portabilidade aos dados dos titulares a outro fornecedor de serviço ou produto;
  3. Quando solicitado pelo titular, poderá optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  4. Estará dispensado de fornecer declaração completa e clara, quando do exercício dos direitos pelos titulares;
  5. Estará dispensado de manter registros de operações de tratamento de dados;
  6. Poderá preencher Relatório de Impacto à Proteção de Dados Pessoais simplificado, quando exigido. Este ponto será regulamentado em resolução específica para este fim;
  7. Poderá ser dispensado, flexibilizado ou simplificado o procedimento para comunicação de incidente de segurança.
  8. Estará dispensado de indicar um Encarregado de Proteção de Dados;
  9. Estará obrigado a adotar medidas administrativas e técnicas essenciais e necessárias em relação à segurança da informação, baseados no Guia Orientativo já disponibilizado pela ANPD;
  10. Poderá elaborar e disponibilizar uma Política de Segurança simplificada, apenas com os requisitos essenciais sobre o tema; e
  11. Terá prazo em dobro para atendimento às requisições dos titulares, comunicação à ANPD e demais prazos estabelecidos pela ANPD.

 

 

Destaca-se que a flexibilização das regras da LGPD para micro e pequenas empresas não alteração o direito fundamental que os titulares de dados têm à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios que norteiam a proteção de dados no país. Além disso, as flexibilizações previstas na minuta não são aplicáveis aos agentes, mesmo que enquadrados pelo porte, que fazem tratamento de alto risco e larga escala e que envolve

 

  1. dados pessoais sensíveis ou de grupos vulneráveis;
  2. vigilância ou controle de zonas acessíveis ao público;
  3. uso de tecnologias emergentes, que podem ocasionar danos materiais ou morais aos titulares; e
  4. tratamento automatizado que afetam os interesses dos titulares.

 

 

lgpd3.png

Quais os desafios para MPEs em lidar com cibersegurança e proteção de dados?" 

 

Alcançar a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) gera impactos em termos de recursos financeiros, recursos humanos e dedicação de tempo. Diante dessa realidade, que exige planejamento e adequação da gestão, a Autoridade Nacional de Proteção de Dados (ANPD) submeteu à consulta pública uma minuta de resolução que regulamenta a aplicação da LGPD para microempresas e empresas de pequeno porte, incluindo startups e empresas de inovação. Um dos pontos em discussão que pode ser flexibilizado é a dispensa da obrigatoriedade de ter um Encarregado (DPO), como previsto nos artigos 5º, inciso VIII e 41 da lei.

 

Com a possibilidade de adoção de procedimentos simplificados, a norma proposta pela ANPD tem como objetivo facilitar a adaptação à LGPD pelas microempresas e assim contribuir para a disseminação da cultura de proteção de dados pessoais. São indicações que demonstram um provável posicionamento mais brando de aplicação da lei para empresas de pequeno porte.

 

Isso porque são muitas as dificuldades enfrentadas pelas PMEs ao longo dessa jornada de adequações. Além dos riscos cibernéticos que envolvem ameaças externas, perda de dados e de informações críticas (muitas vezes confidenciais), há o impacto da falta de capital humano focado em segurança e TI, e de infraestruturas vulneráveis do ambiente e dos serviços utilizados.

 

O custo médio de um comprometimento de segurança em uma pequena ou média empresa é avaliado em US$ 108 mil, segundo levantamento da Kaspersky

 

São fatores que aumentam as chances de perdas financeiras e até da interrupção das operações, podendo resultar em prejuízos aos clientes e à própria reputação da marca. Por exemplo, um agente mal-intencionado pode corromper uma organização com uso de malwares e spywares para infectar um dispositivo e, com isso, obter acesso não autorizado a toda a rede da MPE.

 

Importante citar que muitas micro empresas e de pequeno porte têm negócios com organizações maiores e qualquer incidente de segurança pode ter efeitos de longo alcance sobre clientes e parceiros, gerando uma reação em cadeia.

 

O foco de atuação precisa ser mudança de cultura. Claro que há necessidade de investir mais em tecnologias protetivas para apoiar na implementação das novas regras, mas temos que engajar a liderança das empresas para atenderem as melhores práticas de proteção de dados e exigirem isso de todas as equipes, fornecedores e parceiros. Exige uma atuação multidisciplinar e multidepartamental. Terão de se unir nessa jornada profissionais das áreas jurídica, Tecnologia da Informação (TI), recursos humanos, marketing, negócios, inovação e pesquisa, e também da frente de atendimento aos clientes. Todos os setores críticos das empresas precisam ser envolvidos.

 

Como criar uma cultura de proteção de dados pessoais e de cibersegurança:

 

1. Aumentar a conscientização dentro da organização, treinando e ensinando os funcionários para que sejam a primeira linha de defesa da empresa, empregando recursos em treinamento, cursos e materiais que desenvolvam e capacitem as habilidades dos colaboradores para lidar com situações de ameaça cibernética.

 

2. Implementar políticas em toda a empresa, vislumbrando uma cultura de segurança da informação como somente o uso de software licenciados e atualizados regularmente.

 

3. Cuidado com o uso de dispositivos móveis (telefones celulares, notebooks, tablets, etc.) sejam pessoais ou corporativos (ou uma combinação dos dois).

 

4. Atenção às redes de Internet utilizadas para a realização dos serviços, pois uma rede wi-fi pública, por exemplo, pode representar um alto grau de vulnerabilidade e rastreabilidade dos dados trafegados.

 

5. Começar a utilizar uma VPN é uma boa prática. Sistemas baseados em nuvem também merecem atenção quanto ao compartilhamento de arquivos ou conteúdo dedicado, que pode inclusive envolver uma transferência internacional de dados pessoais.

 

6. Proteger o acesso a portais de fornecedores e outros sistemas externos, com mapeamento, avaliação e gerenciamento todos os riscos.

 

7. Implantar uma política de modificação periódica de senhas e incentivo à autenticação multifatorial para aumentar a segurança.

 

8. Consultar materiais orientativos para apoiar na disseminação de uma cultura a proteção dos dados pessoais em suas organizações, tais como o Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, lançado pela ANPD em outubro deste ano.

 

(Este artigo foi escrito em conjunto com Camila Nascimento, advogada especialista em Direito Digital do Peck Advogados.)

Patricia Peck é sócia do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD)

 

Houve um incidente de segurança, oquê fazer ?

 

O que fazer em caso de um incidente de segurança com dados pessoais?

 

Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis. Vide formulário de avaliação constante do sítio eletrônico da ANPD;

 

Comunicar ao encarregado (Art. 5º, VIII da LGPD);

 

Comunicar ao controlador, se você for o operador, nos termos da LGPD;

 

Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); el

 

Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD)