• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

Sobre cintos de segurança, LGPD, pequenas empresas e interpretação

A aplicação da lei a micro, pequenas e médias empresas é tema do artigo de Sergio Pohlmann, profissional de TI e autor do livro LGPD Ninja

Imagem mostra marceneira em oficina de trabalho

 

20/02/2020

LGPD a caminho, mil preocupações, cursos pululando pela internet. Dúvidas e incertezas nas redes sociais. Muita gente se pergunta: o que vai ser das pequenas empresas, quando a Lei Geral de Proteção de Dados estiver em pleno vigor? Respostas que se ouvem por aí:

“A Autoridade Nacional de Proteção de Dados (ANPD) fará uma legislação diferenciada para as pequenas empresas.”

“Pequena empresa não pode ser cobrada pela LGPD.”

“As pequenas vão quebrar, caso tenham de se adequar à lei.”

E outras tantas questões que proliferam como fungos por essa já tão poluída internet.

Mas afinal… o pequeno empresário terá que se adequar à Lei?

Vamos a uma historinha para facilitar o entendimento. Lá no final da década de 80, comprei um carro. Usado. Bem usado, diga-se de passagem! Esse carro não tinha cinto de segurança. Os que não viveram naquela época poderiam dizer: "Oh! Meu Deus! Como, não tinha?". Pois, não tinha! Não era obrigatório quando o carro foi fabricado, e sequer era prática incluí-lo nos carros mais avançados da época. Quando surgiu a notícia de que o cinto de segurança seria um artigo obrigatório, muita gente teve que correr atrás de lojas de autopeças para comprar o dito acessório. Observemos de maneira analítica alguns pontos fundamentais:

    • Primeiro: acidentes aconteciam, mesmo antes da criação do cinto de segurança.
    • Segundo: acidentes podem causar lesões nos tripulantes de um veículo automotor.
    • Terceiro: o cinto de segurança preserva vidas. Já vivenciei três acidentes nos quais teria sofrido lesões maiores, se não fosse o cinto.
    • Quarto: na década de 90, uma lei obrigou o uso do cinto de segurança em automóveis, em todo o território nacional.

Vamos juntar estes dados e buscar alguma coisa nova: acidentes aconteciam, mesmo antes da criação do cinto de segurança. O cinto de segurança existia, mesmo antes da lei que obrigou seu uso. Não foi exatamente a lei que diminuiu as lesões com acidentes: o que diminuiu o número de lesões foi o uso do cinto – e não a lei que o regulamentava. Já existiam recomendações de empresas de segurança que diziam, muito antes da existência de nossa lei, que o uso do cinto poderia diminuir as lesões em passageiros. Pois estamos no mesmo, meu amigo! A LGPD não está criando necessidade nova. Está apenas obrigando a implementação de boas práticas.

Boas práticas de segurança de dados são recomendadas há mais de vinte anos!

Eu sou daquele grupo de profissionais que já trabalhava com Tecnologia da Informação na década de 80 (quando comprei o carro aqui citado, inclusive). Nesta época, existiam recomendações de boas práticas para tratamento de dados. Alguém aí vai lembrar dos backups, dos cuidados com bancos de dados, da sanitização de entrada dos programas, da preocupação com os primeiros vírus, da necessidade de treinamento de usuários, etc.

O “povo”, em geral (salvo raríssimas exceções), não implementou as medidas necessárias, porque elas eram recomendações. Não eram exigências! E isso custavam dinheiro! “Só” por isso! Da mesma forma que os fabricantes de carros não incluíam cintos de segurança nos automóveis fabricados naquela época porque isso implicaria aumento de custos. Era uma recomendação, não uma exigência! Os acidentes não mudaram com a Lei. Quando o cinto virou exigência, todas as fábricas passaram a inclui-lo. Os acidentes não mudaram com a lei. Mas as consequências dos acidentes foram menores do que antes dela: porque as pessoas que passaram a usar o cinto, passaram a sofrer menos lesões, quando de um acidente.

E o que isto tem a ver com a LGPD? Tudo!

As recomendações sempre estiveram presentes no mundo da tecnologia. Ninguém implementou porque custavam dinheiro. Agora, terão que implementar, não importa o que custe, porque, caso contrário, podem sofrer multas, sanções ou problemas contratuais. Se você estiver do “lado empresário”, como micro, pequena ou média empresa, entenderá que a implementação da LGPD, ou a adequação a ela, implica custos e em um enorme esforço. Dentro deste contexto, poderia soar razoável pensar que pequenas empresas devem ser poupadas da Lei. Mas….se os seus dados fossem vazados, você deixaria de exigir que a empresa fosse punida, porque ela é uma empresa pequena?

Se você for vítima de uma fraude, você atuará diferentemente, conforme o tamanho da empresa que o prejudicou?

O tamanho da empresa deve influir na responsabilidade dela, ou na necessidade de cumprimento da Lei? Mas, e quanto às pequenas e médias empresas? Se houver um afrouxamento das exigências, em relação às pequenas empresas, de forma que elas não necessitem se preocupar tanto com a segurança dos dados pessoais de seus clientes, então chegaremos ao ponto em que os clientes conscientes, sabedores de tal diferencial, passarão a preferir que seus dados sejam tratados apenas por empresas grandes, onde as exigências legais são maiores. Eu, pessoalmente, só compraria de empresas grandes, onde meus dados estariam, por Lei, mais seguros e protegidos. É isso que queremos? Entendo que exista uma enorme preocupação com o custo da implementação da lei. Mas o que queremos que se proteja são os dados pessoais dos cidadãos brasileiros.

“Mas multar uma PME em cinquenta milhões de reais é absurdo”

É absurdo, sim! Inclusive é por isso que a LGPD fala em multas de dois por cento do faturamento anual, limitadas a R$ 50 milhões. Você leu direito? Uma MEI fatura menos de R$ 100 mil por ano, portanto, a multa por evento não pode ser maior que 2% disso, ou seja, R$ 2 mil. Entendem que há uma enorme falha na interpretação da lei, quando as pessoas falam que uma multa vai quebrar as PMEs? Não é necessário ser advogado para interpretar este artigo, nem ser economista ou matemático para efetuar este cálculo!

A LGPD já tem uma previsão de aplicação de multas gradual, diferenciada por tamanho de empresa. Mas a multa tem que ser aplicável! A exigência precisa existir, caso contrário, a proteção será inexistente, por motivos óbvios.Eu quero meus dados protegidos e cobertos por uma lei coerente. Não me importa se quem os trata é o maior banco do país, ou se é a padaria da esquina. São os meus dados. E eu os quero protegidos! Se não houver aplicação, equitativa da LGPD, para todos os empreendimentos, correremos forte risco de prejuízo real às nossas pequenas e médias empresas.

 É profissional da área de Engenharia da Computação, Segurança da Informação, GDPR e LGPD, com várias certificações de segurança internacionais, como a Chief Information Security Officer (CISO), pela EC-Council, e a Certified Security Systems Professional (CISSP), pela (ISC)². É professor e docente universitário em diversos eventos e universidades internacionais do Mercosul. Atualmente, trabalha na LGPD Ninja, como consultor profissional, em consultorias e auditorias de conformidade com a LGPD. Desenvolveu um dos primeiros frameworks para a implementação da lei no Brasil, tendo escrito um livro (LGPD Ninja), também sobre a LGPD.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

 

registrado em: LGPD, Lei Geral de Proteção de Dados, PME, Pequenas Empresas, Sergio Pohlmann
Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal