De acordo com uma pesquisa realizada pela empresa de software CAPTERRA, apenas 37% das pequenas e médias empresas estão adequadas à Lei Geral de Proteção de Dados Pessoais (LGPD), conforme pode ser observado na matéria publicada no dia 13/08/2021, pela empresa de softwares Capterra, constante do link https://www.capterra.com.br/blog/2153/lgpd-pme, cujo título é “LGPD para PME: Minoria está totalmente adequada à legislação.”
Esse fato, muito provavelmente, tem relação direta com o custo de uma implementação completa e adequada à Lei Geral de Proteção de Dados Pessoais (LGPD), uma vez que para as pequenas e médias empresas esse custo pode corresponder à manutenção e até mesmo à sobrevivência do seu negócio.
No dia 14/09/2021, foi realizada uma Consulta Pública pela ANPD referente à Norma de aplicação da LGPD para Microempresas e Empresas de Pequeno Porte. Por esta norma tais empresas terão alguns benefícios ou condições diferenciadas com relação ao cumprimento da LGPD, mas essa “norma diferenciada” atingirá apenas empresas cujo faturamento bruto anual não ultrapasse R$ 3,6 milhões, logo, as empresas de porte médio não serão abarcadas por essa nova legislação vinculada à LGPD, mas, certamente, enfrentarão o mesmo tipo de dificuldade das empresas de pequeno porte na implantação.
E o grande problema, em não se adaptar à LGPD, em especial no setor da construção civil, é que essas mesmas empresas de porte médio prestam serviços às grandes empresas do setor, que por sua vez são contratadas por clientes que exigem a adequação à LGPD, inclusive da cadeia subcontratada.
As grandes empresas que se adaptaram à Lei Geral de Proteção de Dados, até por uma questão de responsabilidade solidária, vão exigir das suas subcontratadas que elas também tenham se adaptado, que estejam cumprindo as regras previstas na lei (LGPD) e que mantenham, ainda que minimamente, um ambiente de segurança da informação seguro.
Nesse ponto, é importante destacar que, muito em breve, será uma realidade que, NOS PROCESSOS INTERNOS DE COTAÇÃO DESSAS GRANDES EMPRESAS, as empresas de porte médio, que são subcontratadas, tenham que:
· Demonstrar os controles de segurança que são feitos com relação aos dados pessoais tratados na sua empresa;
· Apresentar um plano de implementação que será adotado em caso de algum incidente envolvendo o tratamento dos dados pessoais que circulam pela sua empresa, e;
· Demonstrar que cumprem as exigências da LGPD, sob pena de serem eliminadas do processo de cotação, independentemente do valor apresentado.
E, no caso de terem superado o processo de cotação, NA FASE DE CONTRATAÇÃO, terão que:
· Concordar com cláusulas contratuais que definem de forma clara o papel do subcontratado com relação aos dados pessoais recebidos e sua responsabilidade decorrente do tratamento e de eventual vazamento desses dados;
· Responder a questionários de avaliação de segurança;
· Apresentar relatórios de testes de controles e, em alguns casos, sofrer auditorias relacionadas a esses controles.
Ou seja, não ter um ambiente de segurança seguro e não ter se adequado à LGPD, poderá ser um fator objetivo e decisivo de eliminação em um simples processo de cotação, razão pela qual é imprescindível que você, média empresa, que atua no setor da construção civil, que comece, o quanto antes, a se adaptar, ainda que minimamente, aos requisitos da LGPD, então te pergunto: Você já começou a pelo menos identificar quais dados pessoais passam (são tratados) na sua empresa?
Se você leu esse artigo e entrou em pânico e não sabe nem por onde começar, não se desespere, comece pelo começo e qual é esse começo?
a) Defina um responsável na empresa para cuidar desse assunto. Essa mesma pessoa, nesse primeiro momento, poderá ser o encarregado (responsável pelos dados pessoais), exigido no art. 5º, inc. VIII, da Lei nº 13709/18 (LGPD);
b) Procure entender os principais conceitos envolvidos na LGPD, abaixo relacionados, para depois partir para a implementação prática do que precisa ser feito:
· O que são dados pessoais? Qual a diferença entre dados pessoais e dados sensíveis?
· O que significa anonimização de dados?
· O que significa tratamento de dados? Quais são os tipos de tratamento de dados?
· Qual a diferença entre controlador(a); encarregado(a) e operado(a)?
· Como ocorre a responsabilização dos(as) controladores(as)por incidentes envolvendo a proteção de dados?
c) Procure ajuda de um profissional que entenda desse assunto, para lhe ajudar na adaptação prática à LGPD, pois uma implantação malfeita, pode ser pior que não feita.
Por fim, tenha em mente que o custo de não se adaptar pode ser muito maior que o custo de implantar o mínimo de controle e de adequação aos termos da lei.