A regulamentação da aplicação da LGPD para micro e empresas de pequeno porte

Agradeço à ANPD pela oportunidade de contribuir, nesta Audiência Pública, sobre a minuta da norma que regulamenta o art. 55-J, inciso 18 da lei 13.709/2018.

As minhas contribuições são como advogada, professora universitária, diretora do Comitê Jurídico da ANPPD e, também, baseada na Tomada de Subsídios 1/2021 (encaminhada pela ANPPD, em março de 2021 à ANPD), bem como o resultado de minhas diversas publicações e livros sobre Proteção de Dados e Privacidade.

Inicialmente, cabe destacar que o inciso 18 XVIII do artigo 55-J estabelece que cabe à ANPD editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD.

Alinhado à CF, o art. 2º da LGPD define que a disciplina da proteção de dados pessoais tem como fundamentos, dentre outros:

I - o respeito à privacidade;

II - a autodeterminação informativa (capacidade que toda pessoa tem para ter conhecimento sobre quem possui seus dados pessoais e por quais motivos);

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação (alinhado com a CF: Art. 218. O Estado promoverá e incentivará o desenvolvimento científico, a pesquisa, a capacitação científica e tecnológica e a inovação).

Assim, são escopo de toda a legislação de PD&P a proteção à privacidade das pessoas naturais e a autodeterminação informativa, mas também o desenvolvimento das organizações.

Um dos princípios do privacy by design (privacidade desde a concepção, previsto inclusive no art. 46, § 2º, da LGPD) é que a abordagem de processos empresariais que envolvam dados pessoais, considerem o foco no usuário, ou seja, nas pessoas envolvidas nas atividades desenvolvidas pelas empresas.

Pode ser desafiador para pequenos negócios a adequação à LGPD, mas ela é obrigatória. A Privacidade e a Autodeterminação Informativa devem ser os objetivos legais. Ao falar de proteção de dados e privacidade, estamos falando de nós mesmos, enquanto pessoas.

Estamos preparando esta e próximas gerações com a abordagem da proteção de dados e privacidade.

Devemos reconhecer e parabenizar o esfoço da ANPD com esta resolução ao flexibilizar prazos para cumprimento de direitos e que dinsponibilizará futuramente guias específicos sobre cada assunto. O que não pode haver a supressão de direitos de titulares, como o da portabilidade (como previsto no art. 6º da resolução). Caso contrário, a resolução estará sendo contrária à lei 13.709/2018 - LGPD e ao Decreto 10.474/2020.

Ao conversar com alguns empresários, estes compartilharam comigo que teria sido mais fácil compreender a temática se houvesse mais informações em associações, escolas e conhecimento sobre obrigações das organizações e a população, sobre os seus direitos.

1º ponto: em nenhum momento a LGPD (ou o decreto 10.474/2020) traz a faculdade de cumprimento legal por empresas, mas sim a simplificação do cumprimento do determinado na LGPD. Também não há a possibilidade de exclusão de obrigações em geral ou direitos de titulares previstos na LGPD.

O que a LGPD possibilita é que a ANPD regulamente sobre a simplificação do cumprimento da lei (art. 55-J, XVIII e XXIV; art. 18, V e § 5º; art. 19, § 4º;

2º ponto: Balizar a simplificação de procedimentos para cumprimento da LGPD até os R$ 4,8M definido pela lei 123/2006, não pela lei 182/2021, que prevê o teto de R$ 16M.

De forma preliminar para os pontos que trago a seguir, vale destacar que:

- No Brasil, há 18M de empresas ativas, sendo 70% empresários individuais e de pequeno porte (fonte: Governo Digital)

- A lei Complementar 123/2006 define que são:

                - Microempresas são aquelas com receita bruta de até 360K reais;

                - EPP: 360K até 4,8M (cerca de R$ 400K)

- Já a lei Complementar 182/2021 esclarece que são startups as que possuam receita bruta de até R$ 16M reais (ou R$ 1,3 M de reais)

Isso é: a lacuna é grande até os R$ 16M de receita.

A recomendação é para a flexibilidade legal para controladores com faturamento até 4,8M (EPP) - por CNPJ ou grupo econômico -, visto que há: operadores pequenos que atuam para grandes organizações, com o tratamento de grande quantidade de dados pessoais, bem como grupos econômicos de pequenas empresas. Na prática, há situações até de pessoas que distribuem a receita entre diversos CNPJs para fins fiscais.

Vale ainda destacar que startups que iniciam com baixa receita, mas crescem à  medida em que recebem aportes de investimentos/são vendidas e que exploram a atividade econômica, muitas vezes com suporte na utilização de grande volume de dados (coleta, acesso, armazenamento etc), o pode trazer riscos à PD&P.

Menciono até um episódio de Shark Tank Brasil, em que o investidor "anjo" considera o projeto de uma startup  na área de varejo com um equipamento que aborda as pessoas, coleta informações, define perfis e oferece amostras grátis de produtos. Ele questiona a adequação da startup à LGPD: além de cumprir a lei, a startup cria uma relação de confiança com consumidores, usuários e empregados.

3º ponto: recomendo o alinhamento de nomenclatura entre o artigo 1º, que prevê "agentes de tratamento de pequeno porte" e o artigo 2º (microempresas, startups e organizações sem fins lucrativos).

Cabe destacar que a LGPD, no artigo 55-J determina que a ANPD venha a editar normas e procedimentos simplificados para microempresas e empresas de pequeno porte, bem como startups, não foi identificada a flexibilidade na LGPD para a ANPD regulamentar a simplificação para "associações, fundações, organizações religiosas e partidos políticos". Não que essas organizações não mereçam flexibilidade, mas a LGPD não permite à ANPD a autonomia para regulamentar essas pessoas.

4º ponto: o artigo 3º deveria trazer OU. Assim, havendo alto risco OU larga escala de dados pessoais, haverá o impacto total da LGPD.

Assim, a flexibilização prevista na resolução não seria aplicável a agentes de tratamento de pequeno porte que realizem atividades que possam ter alto risco envolvido OU larga escala de dados pessoais.

5º ponto: seria o caso de possibilitar o cumprimento de direitos de titulares, via contato telefônico também, considerando que muitas empresas não possuem site?

6º ponto: a portabilidade prevista no artigo 11, parágrafo 4º, I (dados sensíveis); artigo 18, V; artigo 40 da LGPD, bem como artigo 4º (II, a, e III, c) do Decreto 10.474/2020 definem que a ANPD viria a regulamentar padrões de como a portabilidade poderia ser viabilizada, mas na resolução o direito de portabilidade ao titular foi retirado (art. 6º, parágrafo 1), contrariando o que é previsto na LGPD e no Decreto.

Sugestão: manter que a portabilidade ocorreria em até 30 dias, com a entrega pelo controlador de arquivo eletrônico ou impresso ao titular. Este, por sua vez, entrega ao fornecedor de produto ou serviço.

7º ponto: os artigos 7 (dispensa de resposta completa) e 8 (menciona os artigos 9 e 19 = declaração completa) poderiam ser alinhados. Afinal, deve ser fornecida uma resposta em cumprimento aos artigos 9º e 19, II.

8º ponto: o artigo 9 decreve uma representação pela classe, mas como isso ocorreria, pois a LGPD descreve as hipóteses de conciliação no artigo 52, parágrafo 7º. Caso não haja conciliação, segue a aplicação de sanções do artigo 52 pela ANPD.

9º ponto: a quantidade de empresas de pequeno porte é alta e não cumprir boa parte da LGPD ou não contar com suporte técnico-jurídico pode apresentar riscos às pessoas cujos dados sejam tratados por essas empresas.

Sugestão: ser facultativa a nomeação de DPO para empresas que tenham menos de 10 empregados ou que tenham receita inferior a R$ 4,8M anual + que realizem tratamento de baixo risco ou sem escala.

Ainda que haja a flexibilização sobre a nomeação de encarregado (DPO interno ou DPO terceirizado) , o canal de comunicação deverá ser operacionalizado por alguém que conheça o que determina a LGPD, ou será inviável o exercício de quaisquer direitos dos titulares e obrigações previstas na LGPD. Sabemos que não é qualquer pessoa que sabe lidar com todo o previsto na legislação, por isso muitos têm buscado a capacitação.

O Relatório de Governança Anual do International Association of Privacy Professionals - IAPP apresentou, em 2019, que obrigadas - ou não - pelo GDPR, a maioria das 370 organizações entrevistadas da União Europeia e Estados Unidos nomeou uma pessoa responsável pela proteção de dados: 

"uma responsabilidade do GDPR que a maioria cumpriu, em resposta ao Artigo 37, é nomear um oficial de proteção de dados - quase três em cada quatro organizações sujeitas ao regulamento nomearam um DPO, seja obrigado por lei ou não".

10º ponto: o acesso e outros direitos das pessoas não são novidades, já eram previstos na:

- CF: com o habeas data;

- CDC: em especial no art. 43;

- MCI: nomeadamente nos artigos 3, 7 e 8º.

A falta de conhecimento da população sobre o que deve ser feito não é motivo para descumprimento legal, como já previa a lei de Introdução às normas do Direito Brasileiro desde 1942: "Art. 3o  Ninguém se escusa de cumprir a lei, alegando que não a conhece".

Não podemos retroagir sobre PD&P, temática está que está em vias de constar em nossa CF, bem como pode elevar o nível de classificação do Brasil perante outros países, ao realizar negócios que envolvam dados pessoais.

Agradeço a todos pelo tempo de vocês e espero ter contribuído com a temática. Mais uma vez: obrigada pela oportunidade de expor um tema que gosto tanto.