Desde 2018, o RGPD faz tremer as PME. Histórias de multas de 20 milhões de euros circulam e paralisam os pequenos empresários que se dizem "estou ferrado, não estou em conformidade".
A realidade é mais simples. A CNIL nunca sancionou uma PME que faz um esforço razoável de conformidade. Ela ataca os gigantes da web, as empresas que vendem dados pessoais, os reincidentes. Não o encanador que tem um ficheiro Excel de clientes.
Isto não o dispensa de fazer a sua parte. Mas o nível de esforço é amplamente gerível.
As 5 ações que cobrem 80% das suas obrigações
Ação 1: o registro dos tratamentos (a base)
É o documento central do RGPD. Lista os dados pessoais que você coleta, por quê, e quanto tempo você os conserva.
Para uma PME típica, cabe em uma página:
| Tratamento | Dados coletados | Finalidade | Duração de conservação |
|---|---|---|---|
| Ficheiro de clientes | Nome, email, telefone, morada | Gestão comercial | 3 anos após último contacto |
| Contabilidade | Nome, morada, nº fatura | Obrigação legal | 10 anos |
| Folha de pagamento (se funcionários) | Estado civil, nº SS, IBAN | Gestão de salários | 5 anos após saída |
| Site web | Cookies, IP, formulário de contacto | Marketing, análise | 13 meses (cookies), 3 anos (formulário) |
| Newsletter | Comunicação | Até cancelamento |
A CNIL oferece um modelo gratuito no seu site. Preencha-o em 30 minutos e atualize-o uma vez por ano.
Ação 2: a informação das pessoas
Você deve informar as pessoas cujos dados você coleta. Na prática:
-
No seu site: uma página "Política de Privacidade" (ou "Proteção de Dados") acessível a partir do rodapé. Descreva em linguagem simples quais dados você coleta, por quê, quanto tempo os guarda, e como exercer seus direitos.
-
Nos seus formulários: uma frase abaixo de cada formulário de contacto: "Os dados coletados são utilizados para responder ao seu pedido. Pode exercer seus direitos contactando-nos em [email]. Veja nossa política de privacidade."
-
Para seus funcionários: um documento entregue na admissão listando os dados coletados no âmbito da relação de trabalho.
Ação 3: a gestão de cookies
Se seu site usa cookies de medição de audiência (Google Analytics, Matomo) ou publicidade, você deve obter o consentimento explícito do visitante ANTES de depositar esses cookies.
A ação: instale um aviso de cookies conforme. Soluções gratuitas como Tarteaucitron.js ou Cookiebot (gratuito até 100 páginas) fazem o trabalho.
Exceção: cookies estritamente necessários para o funcionamento do site (autenticação, carrinho de compras) não requerem consentimento.
Alternativa: use Matomo em configuração "isenta de consentimento" (declaração CNIL). Você mantém suas análises sem aviso de cookies.
Ação 4: a segurança dos dados
O RGPD impõe proteger dados pessoais com "medidas técnicas e organizacionais apropriadas". Para uma PME, isto significa:
- Palavras-passe robustas e únicas (veja o artigo de cibersegurança)
- Atualizações de segurança aplicadas
- Cópias de segurança regulares
- Acesso restrito aos dados (nem todos acessam tudo)
- Encriptação de computadores portáteis
Não é mais nem menos do que as boas práticas de cibersegurança que você deveria aplicar de qualquer forma.
Ação 5: a gestão dos direitos das pessoas
O RGPD dá às pessoas direitos sobre seus dados: acesso, retificação, supressão, portabilidade. Na prática, as PME recebem muito poucas solicitações deste tipo.
A ação: designe um interlocutor (você mesmo ou um colega) e um endereço de email de contacto (tipo dados@suaempresa.pt). Quando um pedido chega, responda no prazo de um mês. É tudo.
O que pode esperar
O DPO (delegado de proteção de dados) — obrigatório apenas para empresas que tratam dados em larga escala ou dados sensíveis. Uma PME de 5 pessoas não precisa de DPO.
A análise de impacto (AIPD) — obrigatória apenas para tratamentos de risco elevado (videovigilância em larga escala, perfilação sistemática, dados de saúde). O ficheiro de clientes de sua marcenaria não é um tratamento de risco elevado.
A certificação RGPD — nenhuma certificação é obrigatória. As empresas que lhe vendem "certificações RGPD" exploram o medo. A conformidade é um processo contínuo, não um rótulo.
Em caso de violação de dados
Se dados pessoais vazarem (pirataria, perda de pen drive, email enviado para destinatário errado), você tem 72 horas para notificar a CNIL se a violação apresenta um risco para as pessoas.
O formulário de notificação está em linha no site da CNIL. Preencha-o honestamente: o que aconteceu, quantas pessoas são afetadas, que medidas você tomou.
A CNIL é mais indulgente com uma empresa que notifica rapidamente do que com uma empresa que oculta o incidente.
O RGPD não é um monstro burocrático para as PME. É um quadro de bom senso: proteja os dados de seus clientes como gostaria que protegessem os seus.