Ausência de mapeamento de dados, falta de políticas internas e pouca conscientização das equipes estão entre os principais erros
Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, em setembro de 2020, micro e pequenas empresas passaram a ter a responsabilidade de adotar práticas que garantam a privacidade e a segurança das informações pessoais que coletam. No entanto, mesmo após cinco anos de vigência, muitas organizações ainda não deram os passos necessários para se adequar.
De acordo com Carmem Lilian Calvo Bosquê, sócia na Bosquê & Grieco Advogados Associados, a primeira falha está na ausência de um mapeamento claro do fluxo de dados. Sem essa fotografia completa de onde e como as informações circulam, é praticamente impossível implementar medidas eficazes de proteção. “Muitos empreendedores sequer sabem onde estão armazenados os dados dos clientes ou colaboradores, e isso abre brechas para incidentes de segurança”, explica a advogada.
Outro ponto crítico é a falta de conscientização e treinamento das equipes. Embora a LGPD exija uma cultura de proteção de dados, grande parte das pequenas empresas ainda não promove capacitações internas. “Não basta ter uma política de privacidade no site. É preciso que todos na empresa entendam o que a lei determina e como isso impacta o dia a dia das operações”, reforça a especialista.
A ausência de políticas formais, como as de segurança da informação, resposta a incidentes e proteção de dados de colaboradores, também se mantém como uma lacuna. Segundo o manual prático do Idec, esses documentos funcionam como uma bússola para orientar a conduta dos times e, quando inexistentes, deixam a empresa mais vulnerável a falhas.
Outro erro recorrente é deixar de nomear um encarregado de dados (DPO), figura prevista em lei como responsável por atender demandas de titulares e da Autoridade Nacional de Proteção de Dados (ANPD). “A figura do encarregado é essencial, mesmo que seja um colaborador capacitado para essa função. Sem ele, a empresa fica sem um canal estruturado de comunicação e resposta”, destaca Carmem.
Também é comum que pequenos negócios coletem mais dados do que o necessário, descumprindo o princípio da necessidade previsto na LGPD. “Se a informação não é indispensável para a atividade fim, ela não deve ser solicitada. Essa é uma das práticas mais negligenciadas e, ao mesmo tempo, uma das mais fáceis de corrigir”, afirma Bosquê.
Para a sócia da Bosquê & Grieco Advogados Associados, é importante desmistificar a ideia de que a LGPD é apenas um custo ou um risco para as empresas. Na prática, a adequação pode trazer ganhos em eficiência, transparência e confiança dos clientes. “Mais do que evitar multas, adequar-se à LGPD é investir em uma relação de confiança com consumidores e parceiros. É um diferencial competitivo que pode abrir portas para novos negócios”, conclui.
