MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. A regulamentação da aplicação da LGPD para micro e empresas de pequeno porte

A regulamentação da aplicação da LGPD para micro e empresas de pequeno porte

Pode ser desafiador para pequenos negócios a adequação à LGPD, mas ela é obrigatória. A Privacidade e a Autodeterminação Informativa devem ser os objetivos legais. Ao falar de proteção de dados e privacidade, estamos falando de nós mesmos, enquanto pessoas.

quinta-feira, 16 de setembro de 2021

Atualizado às 12:39

(Imagem: Arte Migalhas)

Agradeço à ANPD pela oportunidade de contribuir, nesta Audiência Pública, sobre a minuta da norma que regulamenta o art. 55-J, inciso 18 da lei 13.709/2018.

As minhas contribuições são como advogada, professora universitária, diretora do Comitê Jurídico da ANPPD e, também, baseada na Tomada de Subsídios 1/2021 (encaminhada pela ANPPD, em março de 2021 à ANPD), bem como o resultado de minhas diversas publicações e livros sobre Proteção de Dados e Privacidade.

Inicialmente, cabe destacar que o inciso 18 XVIII do artigo 55-J estabelece que cabe à ANPD editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD.

Alinhado à CF, o art. 2º da LGPD define que a disciplina da proteção de dados pessoais tem como fundamentos, dentre outros:

I - o respeito à privacidade;

II - a autodeterminação informativa (capacidade que toda pessoa tem para ter conhecimento sobre quem possui seus dados pessoais e por quais motivos);

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação (alinhado com a CF: Art. 218. O Estado promoverá e incentivará o desenvolvimento científico, a pesquisa, a capacitação científica e tecnológica e a inovação).

Assim, são escopo de toda a legislação de PD&P a proteção à privacidade das pessoas naturais e a autodeterminação informativa, mas também o desenvolvimento das organizações.

Um dos princípios do privacy by design (privacidade desde a concepção, previsto inclusive no art. 46, § 2º, da LGPD) é que a abordagem de processos empresariais que envolvam dados pessoais, considerem o foco no usuário, ou seja, nas pessoas envolvidas nas atividades desenvolvidas pelas empresas.

Pode ser desafiador para pequenos negócios a adequação à LGPD, mas ela é obrigatória. A Privacidade e a Autodeterminação Informativa devem ser os objetivos legais. Ao falar de proteção de dados e privacidade, estamos falando de nós mesmos, enquanto pessoas.

Estamos preparando esta e próximas gerações com a abordagem da proteção de dados e privacidade.

Devemos reconhecer e parabenizar o esfoço da ANPD com esta resolução ao flexibilizar prazos para cumprimento de direitos e que dinsponibilizará futuramente guias específicos sobre cada assunto. O que não pode haver a supressão de direitos de titulares, como o da portabilidade (como previsto no art. 6º da resolução). Caso contrário, a resolução estará sendo contrária à lei 13.709/2018 - LGPD e ao Decreto 10.474/2020.

Ao conversar com alguns empresários, estes compartilharam comigo que teria sido mais fácil compreender a temática se houvesse mais informações em associações, escolas e conhecimento sobre obrigações das organizações e a população, sobre os seus direitos.

1º ponto: em nenhum momento a LGPD (ou o decreto 10.474/2020) traz a faculdade de cumprimento legal por empresas, mas sim a simplificação do cumprimento do determinado na LGPD. Também não há a possibilidade de exclusão de obrigações em geral ou direitos de titulares previstos na LGPD.

O que a LGPD possibilita é que a ANPD regulamente sobre a simplificação do cumprimento da lei (art. 55-J, XVIII e XXIV; art. 18, V e § 5º; art. 19, § 4º;

2º ponto: Balizar a simplificação de procedimentos para cumprimento da LGPD até os R$ 4,8M definido pela lei 123/2006, não pela lei 182/2021, que prevê o teto de R$ 16M.

De forma preliminar para os pontos que trago a seguir, vale destacar que:

- No Brasil, há 18M de empresas ativas, sendo 70% empresários individuais e de pequeno porte (fonte: Governo Digital)

- A lei Complementar 123/2006 define que são:

                - Microempresas são aquelas com receita bruta de até 360K reais;

                - EPP: 360K até 4,8M (cerca de R$ 400K)

- Já a lei Complementar 182/2021 esclarece que são startups as que possuam receita bruta de até R$ 16M reais (ou R$ 1,3 M de reais)

Isso é: a lacuna é grande até os R$ 16M de receita.

A recomendação é para a flexibilidade legal para controladores com faturamento até 4,8M (EPP) - por CNPJ ou grupo econômico -, visto que há: operadores pequenos que atuam para grandes organizações, com o tratamento de grande quantidade de dados pessoais, bem como grupos econômicos de pequenas empresas. Na prática, há situações até de pessoas que distribuem a receita entre diversos CNPJs para fins fiscais.

Vale ainda destacar que startups que iniciam com baixa receita, mas crescem à  medida em que recebem aportes de investimentos/são vendidas e que exploram a atividade econômica, muitas vezes com suporte na utilização de grande volume de dados (coleta, acesso, armazenamento etc), o pode trazer riscos à PD&P.

Menciono até um episódio de Shark Tank Brasil, em que o investidor "anjo" considera o projeto de uma startup  na área de varejo com um equipamento que aborda as pessoas, coleta informações, define perfis e oferece amostras grátis de produtos. Ele questiona a adequação da startup à LGPD: além de cumprir a lei, a startup cria uma relação de confiança com consumidores, usuários e empregados.

3º ponto: recomendo o alinhamento de nomenclatura entre o artigo 1º, que prevê "agentes de tratamento de pequeno porte" e o artigo 2º (microempresas, startups e organizações sem fins lucrativos).

Cabe destacar que a LGPD, no artigo 55-J determina que a ANPD venha a editar normas e procedimentos simplificados para microempresas e empresas de pequeno porte, bem como startups, não foi identificada a flexibilidade na LGPD para a ANPD regulamentar a simplificação para "associações, fundações, organizações religiosas e partidos políticos". Não que essas organizações não mereçam flexibilidade, mas a LGPD não permite à ANPD a autonomia para regulamentar essas pessoas.

4º ponto: o artigo 3º deveria trazer OU. Assim, havendo alto risco OU larga escala de dados pessoais, haverá o impacto total da LGPD.

Assim, a flexibilização prevista na resolução não seria aplicável a agentes de tratamento de pequeno porte que realizem atividades que possam ter alto risco envolvido OU larga escala de dados pessoais.

5º ponto: seria o caso de possibilitar o cumprimento de direitos de titulares, via contato telefônico também, considerando que muitas empresas não possuem site?

6º ponto: a portabilidade prevista no artigo 11, parágrafo 4º, I (dados sensíveis); artigo 18, V; artigo 40 da LGPD, bem como artigo 4º (II, a, e III, c) do Decreto 10.474/2020 definem que a ANPD viria a regulamentar padrões de como a portabilidade poderia ser viabilizada, mas na resolução o direito de portabilidade ao titular foi retirado (art. 6º, parágrafo 1), contrariando o que é previsto na LGPD e no Decreto.

Sugestão: manter que a portabilidade ocorreria em até 30 dias, com a entrega pelo controlador de arquivo eletrônico ou impresso ao titular. Este, por sua vez, entrega ao fornecedor de produto ou serviço.

7º ponto: os artigos 7 (dispensa de resposta completa) e 8 (menciona os artigos 9 e 19 = declaração completa) poderiam ser alinhados. Afinal, deve ser fornecida uma resposta em cumprimento aos artigos 9º e 19, II.

8º ponto: o artigo 9 decreve uma representação pela classe, mas como isso ocorreria, pois a LGPD descreve as hipóteses de conciliação no artigo 52, parágrafo 7º. Caso não haja conciliação, segue a aplicação de sanções do artigo 52 pela ANPD.

9º ponto: a quantidade de empresas de pequeno porte é alta e não cumprir boa parte da LGPD ou não contar com suporte técnico-jurídico pode apresentar riscos às pessoas cujos dados sejam tratados por essas empresas.

Sugestão: ser facultativa a nomeação de DPO para empresas que tenham menos de 10 empregados ou que tenham receita inferior a R$ 4,8M anual + que realizem tratamento de baixo risco ou sem escala.

Ainda que haja a flexibilização sobre a nomeação de encarregado (DPO interno ou DPO terceirizado) , o canal de comunicação deverá ser operacionalizado por alguém que conheça o que determina a LGPD, ou será inviável o exercício de quaisquer direitos dos titulares e obrigações previstas na LGPD. Sabemos que não é qualquer pessoa que sabe lidar com todo o previsto na legislação, por isso muitos têm buscado a capacitação.

O Relatório de Governança Anual do International Association of Privacy Professionals - IAPP apresentou, em 2019, que obrigadas - ou não - pelo GDPR, a maioria das 370 organizações entrevistadas da União Europeia e Estados Unidos nomeou uma pessoa responsável pela proteção de dados: 

"uma responsabilidade do GDPR que a maioria cumpriu, em resposta ao Artigo 37, é nomear um oficial de proteção de dados - quase três em cada quatro organizações sujeitas ao regulamento nomearam um DPO, seja obrigado por lei ou não".

10º ponto: o acesso e outros direitos das pessoas não são novidades, já eram previstos na:

- CF: com o habeas data;

- CDC: em especial no art. 43;

- MCI: nomeadamente nos artigos 3, 7 e 8º.

A falta de conhecimento da população sobre o que deve ser feito não é motivo para descumprimento legal, como já previa a lei de Introdução às normas do Direito Brasileiro desde 1942: "Art. 3o  Ninguém se escusa de cumprir a lei, alegando que não a conhece".

Não podemos retroagir sobre PD&P, temática está que está em vias de constar em nossa CF, bem como pode elevar o nível de classificação do Brasil perante outros países, ao realizar negócios que envolvam dados pessoais.

Agradeço a todos pelo tempo de vocês e espero ter contribuído com a temática. Mais uma vez: obrigada pela oportunidade de expor um tema que gosto tanto.

Adrianne Lima

Adrianne Lima

Advogada na ACC de Lima Consultoria Jurídica e Treinamentos, Consultora em LGPD, DPO as a service e body shop (terceirizado), Mestre em Administração e Desenvolvimento de Negócios pela Mackenzie, Lead Implementer ISO 27701. Professora convidada da Universidade Mackenzie, Diretora do Comitê Jurídico da ANPPD.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca