Especialista alerta sobre os riscos da dispensa à adequação da LGPD por micro e pequenas empresas
Riscos que a Resolução 02/ANPD/22 pode trazer para a Adequação a LGPD para PME, em se tratando de Segurança da Informação das Empresas
Abordamos na semana passada que no dia 28/1, dia internacional de Proteção e Privacidades de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma Resolução que aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. O objetivo do regulamento é trazer equilíbrio para a adaptação de empresas de pequeno porte, microempresas e startups às regras da LGPD, e ao mesmo tempo garantir os direitos dos titulares dos dados. Mas agora trazemos um pouco mais de informações sobre os riscos para a adequação destas empresas.
Riscos eminentes
Existem riscos ocultos nesta Resolução que fazem alguns empresários e entidades que são responsáveis em distribuir conteúdo para seus clientes e parceiros, que nos deixam muito preocupado. Ao nos debruçarmos de forma efetiva quanto às responsabilidades que continuarão existindo, destaco as seguintes;
“Os agentes de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, desde que disponibilizem um canal de comunicação com o titular de dados. Tais agentes também deverão adotar medidas de segurança da informação para proteção dos dados pessoais. No entanto, a norma indica que essas empresas podem ter uma política simplificada de segurança da informação, desde que garanta a proteção contra os principais problemas, tais como acessos não autorizados, destruição, perda, alteração e etc.”
Documentos, relatórios e formulários simplificados, não irão prover a segurança mínima necessária que necessita o tratamento de dados destes agentes de pequeno porte, uma vez que na própria resolução no Art. 12 deixa muito claro que deverá ser feito investimento em segurança da informação.
“Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.”
Quem irá coordenar esta demanda? Quem irá monitorar o portal de titulares? Quem irá responder de forma efetiva e satisfatória, seguindo os princípios descritos no Art. 6 da Lei Geral de Proteção de Dados? Quem será responsável em adotar as medidas de segurança adequada, já exemplificada no guia de segurança aos agentes de tratamento em outubro de 2021? Muitas perguntas ainda sem respostas para a maioria dos agentes de tratamento de pequeno porte espalhados por todo Brasil. E ainda qual a base técnica que foi a base dessa resolução?
Olhando por outra lente
Os agentes de tratamento, que enxergarem o processo de adequação a Lei Geral de Proteção de Dados, como vantagem competitiva, além de estar cumprindo o que determina a Lei, estará saindo na frente, onde que as estimativas de maturidade da mesma, tanto no quesito regulatório como fiscalizador estão fixadas em 2023. Nesta resolução, também no Art. 12 , deixa muito claro que os agentes de tratamento, que indicarem um Encarregado de Dados, será considerada uma boa prática e terá muito menos trabalho, tanto na articulação e implementação das medidas administrativas, quanto nas medidas técnicas de segurança prevista no Art. 6 e Art. 46 da Lei 13708/18. Isso não indicaria já um indicativo de que um Encarregado de dados trará mais segurança para esses agentes de tratamentos? Reflexão necessária aos empresários que realmente desejam uma empresa segura e de destaque.
Responsabilidade
Independente da volumetria, criticidade, sensibilidade e relevância, tratar dados pessoais precisa acima de tudo muita empatia, responsabilidade e segurança, precisamos manter aquela máxima “trate os dados de terceiros, como quer que os seus sejam tratados” bem como “Não há como falar em privacidade, sem Segurança da Informação” portanto, investir em segurança é necessário, investir em aculturamento e é uma tarefa de toda a corporação que utiliza dados pessoais para operações comerciais diretas ou indiretas. È valorizar sua instituição, seus ativos e seus clientes.
Por Damiao Oliveira
DPO – Fecontesc
CDPO – Somaxi Group
Jornalista DRT 6688/SC
Repórter ANPPD – Responsável Portal de Notícias
Veja também: ANPD torna-se autarquia de natureza especial