As empresas pequenas serão as principais afetadas pela LGPD (Lei Geral de Proteção de Dados Pessoais), sancionada pelo presidente Michel Temer em 14 de agosto.
A lei determina que empresas sejam transparentes em relação ao uso de dados de clientes. Serão punidos, por exemplo, negócios que coletem informações pessoais sem consentimento ou que guardem dados desnecessários para o serviço prestado.
"Vai ter um impacto grande no varejo, em farmácias, mercados, lojas e consultórios médicos", diz a advogada Patrícia Peck, especialista em direito digital.
Ao digitar o CPF para entrar em um plano de fidelidade e conseguir descontos, por exemplo, o cliente entrega informações pessoais. Hoje, as normas relativas à privacidade já existentes no Brasil não impedem, na prática, que as empresas compartilhem entre si os dados coletados.
A partir de fevereiro de 2020, quando a LGPD entrar em vigor, essa troca será autuada. Quem não se adequar pode pagar uma multa de até 2% do faturamento, com teto de R$ 50 milhões por infração.
As empresas também deverão garantir que clientes consigam editar seus cadastros. Isso vai exigir mudanças nas plataformas dos negócios, que, para a diretora da agência de marketing IDTBWA, Camila Costa, pesarão mais para os pequenos empresários.
"O recurso de tecnologia e o investimento para fazer isso são mais escassos para eles."
A lei ainda não define, porém, como as empresas devem se adequar, diz o advogado Vitor Morais, coordenador do curso de direito da PUC-SP.
Isso vai depender da criação da Agência Nacional de Proteção de Dados Pessoais, vetada do texto aprovado. Na ocasião, Temer afirmou que enviaria um projeto de lei ao Congresso para criar a entidade, o que ainda não foi feito.
A agência será responsável por fiscalizar o cumprimento da lei e, para Fabiano Barreto, especialista em política e indústria da CNI (Confederação Nacional da Indústria), também terá o papel de ensinar a seguir a LGPD.
Mas não há tempo para esperar pela agência. Desde já, as empresas podem rever seus processos, para saber onde e como usam dados pessoais.
"Tem que mapear as informações que captam na catraca do prédio, se têm mailing, se enviam mala direta pelo correio, como é o tratamento das informações dos colaboradores, e ver se estão de acordo com a lei", diz Barreto.
Gabriel Camargo, sócio-diretor da Deep Center, que processa dados, indica três medidas para melhorar a segurança das informações pessoais.
Uma é a restrição de acesso aos locais de armazenamento dos dados. Outra é a instalação de tecnologias que previnem o vazamento nos servidores, como antivírus, firewall e criptografia. Por último, a criação de uma política de conduta para funcionários que lidam com informações.
"Não adianta ter as barreiras se alguém pode fotografar a tela e vazar o conteúdo", diz.
Quando trabalham de casa, os funcionários da Deep Center usam uma tecnologia que impede o vazamento de dados para a rede privada.
Empreendedores devem ficar atentos à adequação de empresas parceiras, porque eles serão responsabilizados pelas informações coletadas por terceiros.
Negócios pequenos também costumam subestimar o risco de ataques de hackers e não se protegem de forma adequada, diz Tiago Lino, especialista em riscos cibernéticos da seguradora AIG.
Alguns vírus sequestram dados, criptografando-os, até que a vítima pague um resgate. "É muito comum. A farmácia da esquina pode já ter tido que pagar R$ 10 mil para um hacker, mas ninguém fica sabendo."
A partir de fevereiro de 2020, a agência que fiscalizará o cumprimento da lei terá que ser notificada caso um ataque envolva dados pessoais de clientes e funcionários.
Patrícia Peck diz que essas mudanças são importantes para facilitar negócios entre empresas brasileiras e estrangeiras, receosas com o fato de o país não ter uma legislação que se preocupe com o uso de dados pessoais. Na Europa, uma lei que inspirou a LGPD começou a valer em maio.
"O Brasil estava em uma lista de poucos países da América Latina que não tinham essa lei, com a Venezuela, o Haiti e Cuba", diz.
O problema, para ela, é a falta de recursos para investir nas adaptações. Linhas de crédito específicas para a LGPD poderiam ajudar.
"É importante construir um plano com bancos de fomento, como o BNDES. Fazer a lei é uma coisa, mas ter um plano para implementar a proteção de dados é política pública."
R$ 50 milhões ou até 2% do faturamento é o valor máximo de cada multa que será aplicada nas contravenções à Lei Geral de Proteção de Dados Pessoais, a partir de fevereiro de 2020
Como se adequar à Lei Geral de Proteção de Dados Pessoais
Procure saber onde, quando e como sua empresa capta dados pessoais de clientes, fornecedores e funcionários. Isso vai de cadastro de CPF às informações usadas para a folha de pagamento
Descubra onde os dados são guardados e se há camadas de proteção, como senhas e criptografia
Avalie se os funcionários que lidam com cadastros de clientes são treinados para isso. Veja se eles sabem evitar vazamentos e se têm noção da responsabilidade sobre as informações
Enumere a situação de risco da empresa nos itens acima de 1 a 5, indo de completamente despreparada para lidar com dados pessoais a já cumpridora dos requisitos da lei. Priorize as ações corretivas nas notas mais baixas
Se não souber como adequar os processos da empresa, procure um advogado especializado em direito digital e um profissional de segurança da informação, para que avaliem o que a empresa deve fazer e como
Associações de empresas podem ser boas fontes de informações sobre como se adequar às exigências. Procure a sua e peça orientação
A última etapa é colocar o plano de mudanças em ação, para corrigir o que for preciso até que a lei esteja em vigor, em fevereiro de 2020.
Fontes: Patrícia Peck (advogada), Fabiano Barreto (CNI), Vitor Morais (advogado), Camila Costa (IDTBWA), Matteo Nova (Berghem), Gabriel Camargo (Deep Center) e Tiago Lino (AIG)