Processo de adequação à LGPD para micro e pequenas empresas é simplificado; entenda
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020, mas a entrada em vigor das multas começou apenas em agosto de 2021. Não é à toa que muitos empresários e empreendedores começaram a prestar mais atenção nessa questão recentemente.
De acordo com o jornal Valor Econômico, o custo de uma empresa para adequação à LGPD varia entre R$50 mil e R$800 mil, se feito à risca. Arcar com um custo dessa magnitude seria inviável para pequenas e médias empresas, e justamente por isso a própria LGPD já possui um artigo que prevê processos simplificados e diferenciados para microempresas, empresas de pequeno porte e startups.
Quer entender mais sobre o assunto? Continue a leitura!
O que é a LGPD
LGPD é a sigla para Lei Geral de Proteção de Dados. A Lei tem como principal influência a GDPR (General Data Protection Regulation), que além de regulamentar a questão para os países europeus, é a legislação mais significativa e recente sobre proteção de dados. A GDPR serviu como modelo para diversos outros países reforçarem suas políticas ou adotarem medidas semelhantes.
O grande objetivo da LGPD é oferecer às pessoas um maior controle sobre suas próprias informações. Ela ajuda os indivíduos a terem mais segurança em relação aos dados que compartilham com empresas e organizações, ao estabelecer regras e procedimentos para essas instituições coletarem, armazenarem, tratarem e compartilharem dados pessoais.
A lei impõe um nível mais alto de proteção às informações, e penalidades mais significativas caso as organizações não cumpram as diretrizes, incluindo multas e sanções.
Regulamentação para pequenas empresas
O art. 55-J, inciso XVIII2 da LGPD prevê processos mais simples para micro e pequenas empresas, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD).
A agenda regulatória da ANPD3 adicionou em seu item 3 uma ação para tratar da "proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos", com previsão de início da regulamentação no 1º semestre de 2021. A ANPD deu início a tomada de subsídios sobre o tema em janeiro de 2021 e submeteu a minuta de resolução à consulta pública em agosto do mesmo ano.
A minuta da resolução definiu os critérios para enquadramento de microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que foram denominados “agentes de tratamento de pequeno porte”. Apesar da resolução ter o propósito de flexibilizar algumas normas, a ANPD ressalta que a minuta “não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios do art. 6º.”
Quem se enquadra como micro e pequena empresa na LGPD
Antes de mais nada, a minuta da resolução define os conceitos de microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos - os tais "agentes de tratamento de pequeno porte"
Para a LGPD, são adotadas as seguintes definições:
I - Microempresas e empresas de pequeno porte: são sociedades empresárias, sociedades simples, empresas individuais de responsabilidade limitada e os empresários a quem se referem o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual (MEI), devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadrem nos termos do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006;
II - Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021;
III - Pessoas jurídicas sem fins lucrativos: são associações, fundações, organizações religiosas e partidos políticos;
IV - Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
E, afinal, quais são as responsabilidades para micro e pequenas empresas segundo a LGPD?
No Capítulo II da minuta de resolução, a ANPD esclarece as obrigações do agente de tratamento de pequeno porte, bem como dispensas ou relativizações de certas obrigações previstas na Lei Geral de Proteção de Dados. São elas:
Portabilidade dos dados pessoais
A cláusula 1 do artigo 6º dispensa a obrigação dos agentes de tratamento de pequeno porte de conferir portabilidade dos dados pessoais do titular a outro fornecedor de serviço ou produto.
Eliminação de dados
A 2ª cláusula do mesmo artigo 6º faculta ao agente de tratamento de pequeno porte, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei.
Assim como no item acima, sobre portabilidade de dados pessoais, percebe-se uma desconformidade com o previsto na LGPD: a lei não outorga ao agente de tratamento a possibilidade de escolha sobre o procedimento a ser adotado quando da solicitação do titular. Esse ponto também certamente ainda será alvo de debates.
Declaração de confirmação da existência de dados
Foi definido que os agentes de tratamento de pequeno porte também são isentos de declarar de forma clara e completa a confirmação de existência ou o acesso a dados pessoais, quando assim demandado pelo titular. No entanto, é importante ressaltar que essa previsão não dispensa o agente de tratamento de pequeno porte de fornecer a informação sobre a confirmação de existência ou acesso (e nem poderia, já que se tratam de direitos do titular outorgados por lei).
Essa disposição apenas dispensa a produção de um documento extenso e detalhado.
Comunicação sobre incidente de segurança
O artigo 12 da minuta prevê que a ANPD poderá dispor sobre dispensa, flexibilização ou processos simplificados de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da resolução específica.
Esse é mais um ponto que deve ser muito debatido ainda, já que questiona-se se faz sentido dispensar o agente de tratamento de pequeno porte de informar ao titular sobre algum incidente de segurança.
Esse é um ponto delicado pois envolve, por exemplo, um cenário no qual seria possível haver algum tipo de vazamento de dados, e o titular não ser informado sobre isso.
Encarregado (DPO)
O artigo 13 da minuta traz a dispensa de indicação do encarregado de dados pessoais (DPO). As funções do DPO vão além de ser a ponte entre controlador/operador, titulares e ANPD; cabe a ele também orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
A ANPD definiu que os agentes de tratamento de pequeno porte não precisarão indicar o encarregado, porém ainda serão obrigados a disponibilizar um canal de comunicação com o titular de dados.
Política de segurança de informação
No que se refere às questões de segurança e boas práticas, a minuta prevê uma simplificação da política de segurança de informação para agentes de tratamento de pequeno porte. A ANPD ainda disponibilizará um guia orientativo sobre segurança da informação para os agentes de tratamento de pequeno porte.
Conclusão
A minuta de resolução disponibilizada pela ANPD ainda será discutida em audiências públicas. Portanto, é possível que alguns dos pontos que mencionamos neste artigo se alterem.
De qualquer forma, o que fica claro é que a ANPD tem consciência do cenário das microempresas e empresas de pequeno porte e pretende tornar o processo de adequação à LGPD mais simplificado para esses negócios.