Por Sergio Pohlmann* – LGPD rodando, mil preocupações, cursos pululando pela internet, dúvidas e incertezas populando redes sociais, e muita gente perguntando o que vai ser das pequenas empresas, quando a LGPD entrar em pleno vigor.
Comum escutar/ler:
“A ANPD fará uma legislação diferenciada para as pequenas empresas.”
“Pequena empresa não pode ser cobrada pela LGPD.”
“As pequenas vão quebrar, se forem adequarem-se à Lei.”
E outras tantas dúvidas e afirmações que proliferam como fungos, por cada poro desta, já tão poluída, internet.
Mas, afinal, como vai ser esta questão das micro e pequenas empresas? O pequeno empresário terá que adequar-se à Lei?
As analogias me encantam, então, vamos a uma historinha, curta e objetiva:
Lá, no final da década de 80, comprei um carro. Usado (como era de se esperar). Bem usado, diga-se de passagem! Este carro não tinha cinto de segurança. Alguns dirão (os que não conviveram com aquela época): “Oh! Meu Deus! Como não tinha?”. Pois, não tinha! Não era obrigatório quando o carro foi fabricado, e sequer era prática inclui-lo nos carros mais avançados da época. Quando surgiu a noticia de que o cinto de segurança seria um artigo obrigatório, muita gente teve que correr atrás de lojas de auto peças, a fim de comprar o dito acessório.
Mas vamos observar, aqui, dois pontos fundamentais:
Primeiro: O cinto de segurança preserva vidas (eu, pessoalmente, já sofri três eventos, nos quais, de não ser pelo cinto, teria sofrido lesões maiores).
Segundo: Acidentes podem causar lesões nos tripulantes de um veículo automotor.
Ah! Claro! Você já sabia disto! Não foi nenhuma novidade, né?
Então vamos somar uma informação a mais:
Na década de 90, uma lei obrigou o uso do cinto de segurança, em automóveis, em todo o território nacional.
Você também sabia disto? Ah! OK!
Então vamos juntar estes dados e buscar alguma coisa nova, ou pelo menos, deduções mais alentadoras:
Você sabia que os acidentes aconteciam, mesmo antes da criação do cinto de segurança? Sabia que o cinto de segurança existia, mesmo antes da Lei que obrigou seu uso? Sabia que a Lei não diminuiu as lesões com acidentes? O que diminuiu as lesões, foi o uso do cinto. Não a Lei que o regulamentava.
Sabia que existiam recomendações de empresas de segurança, que diziam, antes da existência de nossa Lei, que o uso do cinto poderia diminuir as lesões dos passageiros?
Já entendi! Você sabia de tudo isto! Nenhuma notícia nova, até aqui, certo?
Pois estamos no mesmo, meu amigo! A LGPD não está criando exigência nova. Está obrigando a implementação de boas práticas, que são indicadas a mais de vinte anos!
Isto mesmo! Eu sou daquele (nem tão seleto) grupo de profissionais que já trabalhava com Tecnologia da Informação, na década de 80 (quando comprei o carro aqui citado, inclusive). Nesta época, existiam recomendações de boas práticas para tratamento de dados. Alguém ai vai lembrar dos backups, dos cuidados com bancos de dados, da sanitização de entrada dos programas, da preocupação com o primeiros vírus, da necessidade de treinamento de usuários, etc.
O “povo”, em geral (salvo raríssimas exceções), não implementou as medidas necessárias, porque elas eram “recomendações”. Não eram uma exigência! E porque custavam dinheiro!
“Só” por isto!
Da mesma forma que os fabricantes de carros não incluíam cintos de segurança nos automóveis fabricados naquela época. Inclui-los implicava em aumento de custos. Era uma recomendação, não uma exigência!
Quando o cinto virou exigência, todas (sim, todas) as fábricas passaram a inclui-lo. Os acidentes não mudaram com a Lei. Mas as consequências dos acidentes foram menores do que antes dela. porque as pessoas que passaram a usar o cinto, passaram a sofrer menos lesões, quando de um acidente.
E o que isto tem a ver com a LGPD? Já “pescou”?
Tudo!
As recomendações sempre estiveram presentes no mundo da tecnologia. Ninguém implementou porque custavam dinheiro. Agora terão que implementar, não importa o que custe, porque, caso contrário, podem sofrer multas, sanções, ou problemas contratuais.
Mas, e quanto as PME? O artigo não era sobre isto?
Sim! Chegaremos lá!
Se você estiver do “lado empresário”, como pequena ou média (ou mesmo MEI) empresa, entenderá que a implementação/adequação da LGPD implica em custos e em um enorme esforço por parte das empresas. Sem dúvida, pensar que as pequenas empresas podem ser poupadas da Lei, soa razoável, dentro deste contexto.
Mas vamos para o outro lado da corda: Se os seus dados forem vazados, você vai deixar de exigir que a empresa seja punida, porque ela é uma empresa pequena?
Vejamos mais uma analogia: Se você for vítima de uma fraude, você atuará diferentemente, conforme o tamanho da empresa que o prejudicou? O tamanho da empresa influi na sua responsabilidade, ou na sua necessidade de cumprimento com a Lei?
Independente da resposta à estas indagações, ainda temos outro ponto, fundamental:
Se houver um “afrouxamento” das exigências, em relação as pequenas empresas, de forma que elas não necessitem preocupar-se tanto com a segurança dos dados pessoais de seus clientes, então chegaremos ao ponto em que os clientes conscientes (sabedores de tal diferencial) passem a preferir que seus dados sejam tratados apenas por empresas grandes, onde as exigências legais são maiores.
Sou suficientemente claro?
De ser assim (diferença de exigências para a segurança dos dados, dependendo do porte da empresa), eu, pessoalmente, só vou comprar de empresas grandes, onde meus dados estarão, por Lei, mais seguros e protegidos!
É isto que queremos?
Eu entendo que exista uma enorme preocupação com o custo da implementação da Lei. Mas o que queremos que se proteja são os dados pessoais dos cidadãos brasileiros.
“Mas multar uma PME em cinquenta milhões de reais é absurdo”.
É absurdo, sim! Inclusive é absurdo pensar desta forma! A Lei fala em multas de dois por cento do faturamento anual, limitadas à R$ 50.000.000.
Você leu direito?
Uma MEI fatura menos de R$ 100.000,00 por ano, por tanto, a multa por evento, não pode ser maior que 2% disto. Entendem que há uma enorme falha na interpretação da Lei, quando as pessoas falam que uma multa vai quebrar as PMEs?
Não é necessário ser advogado para interpretar este artigo, nem ser economista ou matemático, para efetuar este cálculo!
Determinar que a multa é de até 2% do faturamento anual da empresa já faz com que a Lei tenha uma aplicação gradual, diferenciada por tamanho de empresa. Mas a multa têm que ser aplicável! A exigência precisa existir, caso contrário, a proteção será inexistente, por motivos óbvios.
Eu quero meus dados protegidos e cobertos por uma Lei coerente, não me importa se quem os trata é o maior banco do pais, ou se é a padaria da esquina. São os meus dados. Eu os quero protegidos!
De não haver equidade na aplicação da LGPD, corremos forte risco de um prejuízo real, às nossas pequenas e médias empresas.
*Sergio Pohlmann CISSP – C|CISO – ISO 27701 Segurança da Informação e Privacidade- LGPD.