Conformidade para pequenas empresas: guia detalhado

Publicados: 2022-04-28

Uma das mentiras mais comuns nos tempos modernos? “Li e concordei com os termos e condições”. Além disso, se alguém realmente tivesse tantos cookies quanto concordamos em uma hora média de navegação na web, haveria um novo problema de saúde emergindo.

Tudo pode parecer fútil do ponto de vista do usuário. Ninguém lê todos esses termos e condições ou acordos de cookies porque 'ninguém se importa' - até que haja uma violação de dados.

Então, as empresas estão sob ataque de todos os lados. Má imprensa, clientes dando as costas e governos prontos para puni-los com multas.

Parece duro, mas com o valor que está nos dados, tudo faz sentido. Os dados são o novo ouro e petróleo e precisam ser protegidos.

Especialmente para pequenas empresas, isso pode parecer um aborrecimento. O mundo acelerado das pequenas empresas é difícil o suficiente para navegar sem ter que se preocupar com conformidade regulatória, dados e privacidade.

Conformidade para pequenas empresas

Como proprietário de uma pequena empresa, você tem a tarefa de garantir que sua empresa continue funcionando. Além disso, permanece em conformidade com a lista cada vez maior de regulamentações, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei de Consentimento do Cliente da Califórnia (CCPA). Suspirar.

Essas leis também introduziram recentemente novas complexidades e requisitos para proprietários de pequenas empresas que operam em suas jurisdições, como se ainda não fossem suficientemente complicados.

Além dessas novas leis, os proprietários de pequenas empresas também são obrigados a cumprir as leis e regulamentos federais, como o Fair Credit Reporting Act (FCRA) e o Fair and Accurate Credit Transactions Act (FACTA), que estão em vigor há anos .

Todas essas leis e regulamentos podem parecer esmagadores, especialmente para proprietários de pequenas empresas que operam com um orçamento limitado.

Neste artigo, abordaremos o GDPR e o CCPA. Primeiro, ajudaremos você a entender do que se trata, antes de dar algumas dicas práticas sobre como lidar com a conformidade. Quer aprender mais? Leia sobre como proteger seus dados de pequenas empresas a seguir!

Por que o GDPR e o CCPA existem?

Esses regulamentos são projetados para proteger os consumidores, garantindo ao mesmo tempo que eles sejam representados de forma justa no processo de coleta e uso de dados.

No entanto, os proprietários de pequenas empresas geralmente ficam sobrecarregados com o grande número de leis que são obrigados a cumprir. Vejamos o que os principais players, o GDPR e o CCPA, realmente implicam.

Privacidade on-line

O que é o CCPA?

A Lei de Privacidade do Consumidor da Califórnia (CCPA), coloquialmente conhecida como “Data Privacy Bill”, é uma nova lei que exige que as empresas sejam transparentes sobre como usam os dados pessoais de seus clientes.

O nome “Data Privacy Bill” é um pouco impróprio; embora a lei exija que as empresas divulguem suas práticas de coleta de dados, ela também contém várias outras disposições que afetam as pequenas empresas.

Essas disposições exigem que as empresas obtenham o consentimento dos consumidores antes de usar ou vender seus dados pessoais e também proíbem as empresas de coletar certos tipos de dados pessoais sem a autorização do cliente.

O objetivo da CCPA é proteger os direitos de privacidade de dados dos consumidores, além de exigir que certas empresas forneçam a seus clientes transparência e controle sobre seus dados.

A CCPA é a lei de privacidade de dados mais abrangente dos Estados Unidos e tem o potencial de mudar fundamentalmente a forma como as empresas interagem com seus clientes.

A CCPA se aplica a empresas com pelo menos um residente na Califórnia e que coletam, usam e divulgam informações de clientes para qualquer finalidade.

Se você estiver procurando por informações mais específicas, Osano compartilhou algumas informações úteis sobre como permanecer em conformidade com a CCPA. Em linguagem clara e concisa, você aprenderá tudo sobre os aspectos práticos do CCPA. Por enquanto, aqui estão algumas dicas para você começar com a conformidade.

O que é o RGPD?

O Regulamento Geral de Proteção de Dados (GDPR), às vezes chamado de Lei Geral de Proteção de Dados (GDPR), é o mais recente instrumento legal da UE para regular o uso e a coleta de dados pessoais para proteger a privacidade dos residentes da UE.

Exige que as empresas que operam na UE cumpram determinados padrões relativos à proteção de dados pessoais. Fá-lo codificando os princípios fundamentais de práticas de informação justas, incluindo o direito dos titulares de dados de acesso aos seus dados pessoais mantidos pelos controladores de dados.

Quando a maioria das pessoas pensa no GDPR, eles pensam em como isso afetará os negócios. Na realidade, o GDPR também protege os consumidores.

GDPR

O GDPR afeta apenas as empresas da UE?

Não, o GDPR é um regulamento que protege os direitos de dados da UE, mas também tem grandes implicações para empresas que operam além-fronteiras. Aplica-se a qualquer empresa que lide com dados de cidadãos da UE, independentemente da localização da empresa.

Como o GDPR afeta as pequenas empresas?

Sim, o GDPR é um conjunto complicado de leis, mas não entre em pânico: entendendo do que se trata e as dicas que se seguem, você também pode se tornar e permanecer em conformidade.

Isso pode ser uma tarefa difícil para algumas empresas, especialmente se seu foco principal não for o gerenciamento de dados. Independentemente de seu tamanho ou foco principal, todas as empresas devem cumprir o GDPR para evitar multas pesadas.

O que você realmente precisa saber sobre o GDPR (em linguagem fácil)

O texto completo do GDPR contém 99 artigos individuais. Entendemos que você não vai ler tudo isso, palavra por palavra. Mesmo se você fizer isso, você pode não se lembrar ou mesmo compreender tudo.

Felizmente, há um resumo mais simples. O GDPR gira em torno de sete princípios principais: legalidade, justiça e transparência; limitação de finalidade; minimização de dados; precisão; limitação de armazenamento; integridade e confidencialidade (segurança); e responsabilidade.

Aqui está o que eles implicam.

Legalidade, justiça e transparência

Você só pode processar dados pessoais se tiver uma razão sólida para isso, que resuma a legalidade. Alguns dos motivos podem ser:

  • O usuário deu seu consentimento para fazê-lo.
  • Você deve fazê-lo para cumprir um contrato.
  • É necessário cumprir uma obrigação legal.
  • Para a proteção de interesses vitais de uma pessoa física.
  • É uma tarefa pública feita no interesse público.

Você também precisa ser justo sobre o motivo pelo qual está fazendo isso e transparente.

Limitação de propósito

O motivo pelo qual você coleta e armazena dados se estende ao princípio da limitação de finalidade, o que significa que os dados são “coletados apenas para fins específicos, explícitos e legítimos”.

O objetivo precisa ser claro, não apenas para você, mas também para os consumidores - portanto, você precisa comunicar o que está acontecendo em um aviso de privacidade. Por fim, você também não pode se desviar desse propósito.

Minimização de dados

Você não precisa perguntar aos assinantes de seus boletins qual é o número de telefone deles. Colete apenas os dados necessários.

Precisão

Os dados que você coleta e armazena precisam ser precisos, e isso é de sua responsabilidade. Você precisa verificá-lo e se livrar de dados incorretos ou incompletos. Isso beneficia a todos!

Limitação de armazenamento

Você não pode armazenar dados para sempre. Você precisa limitar o tempo de armazenamento de dados e justificar por que escolheu esse período

Integridade e confidencialidade

Cabe a você manter os dados coletados protegidos contra ameaças internas e externas.

Prestação de contas

Por último, mas não menos importante: você precisa assumir a responsabilidade e ser capaz de provar como está trabalhando em conformidade. Essas provas podem ser solicitadas pelas autoridades a qualquer momento, portanto, certifique-se de documentar adequadamente o que você está fazendo.

Dicas para se tornar e permanecer em conformidade, mesmo sendo uma pequena empresa

Então, agora que você entende o motivo de todo esse alarido, é hora de se tornar complacente. Aqui estão alguns passos e dicas que você não deve perder.

  1. Crie e mantenha uma lista de todas as suas atividades de processamento de dados e documente-as: comece pensando muito sobre quais dados estão realmente em sua posse e o que você coletará no futuro.
  2. Entenda suas obrigações como organização: quais regras se aplicam a você? Existem inúmeras leis por aí e pode ser difícil descobrir em qual delas sua empresa se enquadra. Não hesite em entrar em contato com um especialista para garantir que você não esteja cumprindo as leis erradas.
  3. Garanta que seus funcionários estejam cientes de suas obrigações: proteção de dados e conformidade é um esforço de equipe. Cada pessoa carrega a responsabilidade. Você também pode considerar se precisa nomear um Encarregado de Proteção de Dados (DPO).
  4. Certifique-se de ter um acordo com seus fornecedores terceirizados sobre como eles usam os dados do cliente ou usam um software que o ajude a acompanhar isso.
  5. Use uma ferramenta para fazer o trabalho pesado: um software de plataforma de privacidade pode ajudá-lo a acompanhar todos os seus dados e quaisquer atualizações nos contratos do fornecedor. Fazer isso manualmente tornou-se quase impossível sem a quantidade de dados processados.

Quão confiante você está em sua conformidade?

Quando se trata de cumprir todos esses regulamentos, o melhor conselho é: é melhor prevenir do que remediar.

Eduque-se sobre o que precisa ser feito e, se parecer muito para fazer 'próximo' à administração do seu negócio, considere terceirizar para um especialista - o que sempre será mais barato do que pagar uma multa!