Tenho uma empresa de pequeno porte, preciso me adequar à Lei Geral de Proteção de Dados (LGPD)?

Algumas considerações sobre a Resolução CP/ANPD nº. 02, que regulamentou à aplicação da LGPD aos agentes de tratamento de pequeno porte.

Toda vez que o assunto Lei Geral de Proteção de Dados (LGPD) é tratado, uma das primeiras perguntas que é feita é sobre a aplicabilidade da lei (Lei nº. 13.709/18) às microempresas e empresas de pequeno porte.

Por diversas vezes nós já tratamos sobre esse assunto, e reforçamos a importância de que todas as empresas façam as adequações necessárias (Verifique nosso texto: https://vaneskadonato.adv.br/11-questoes-sobre-lei-geral-de-protecao-de-dados-que-vao-te-ajudar-a-comecar-a-adequar-a-sua-empresa/).

Agora, contudo, temos novidades, já que a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela edição de normas e orientações para as empresas, publicou, em 26 de janeiro do presente ano, a Resolução CP/ANPD nº. 02, trazendo procedimentos simplificado para os chamados agentes de tratamento de dados de pequeno porte.

Uma resolução semelhante já era há muito esperada, mas decepcionou quem esperava por grandes mudanças.

Para que você entenda exatamente tudo que mudou, o texto de hoje aborda as empresas que estão abrangidas pela Resolução, o que é tratamento de alto risco (capaz de afastar as benesses da lei), e, finalmente, quais são, afinal, os benefícios trazidos pela referida Resolução da ANPD.

Então, não deixe de acompanhar esse texto até o final.

1. Agentes de tratamento de pequeno porte para fins de LGPD.

A lei não fala em micro e pequenas empresas, mas sim em agentes de tratamento de dados de pequeno porte. Justamente por isso, é importante tecermos algumas linhas sobre esse assunto para podermos entender o conceito legal.

Vamos lá?

As microempresas e empresas de pequeno porte são consideradas agentes de tratamento de dados de pequeno porte, havendo inclusão expressa das sociedades simples, sociedades limitadas unipessoais e microempreendedores individuais (MEI).

Da mesma forma, foram incluídas as startups, desde que se enquadrem na definição do Marco Legal das Startups (Lei Complementar nº. 182, de 1º de junho de 2021), ou seja, organizações empresariais ou societárias, nascentes ou em operação recente (menos de 10 anos), cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que tiveram receita bruta máxima anual de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano calendário anterior.

Nós já falamos sobre o Marco Legal das Startups e o conceito por ele trazido em outro texto, então, não deixe de conferir (https://vaneskadonato.adv.br/4-criterios-que-voce-tem-que-conhecer-sobre-o-conceito-de-startup-de-acordo-com-o-marco-legal-das-startups/).

Além disso, a Resolução inclui pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como com pessoas naturais e entes privados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Até aqui está fácil de compreender, não é?

A questão é que a Resolução trouxe um outro conceito, que é o tratamento de dados pessoais de alto risco. Se as empresas supramencionadas efetivarem tratamento que se enquadra dentro deste conceito, elas não poderão se beneficiar dos benefícios trazidos pela Resolução em análise.

Então, precisamos saber com exatidão o que é tratamento de alto risco.

2. O tratamento de dados pessoais de alto risco de acordo com a LGPD e a Resolução CP/ANPD nº. 02.

O tratamento de dados pessoais será considerado de alto risco sempre que apresentar pelo menos um dos critérios gerais e um dos específicos, cumulativamente (art. 4º da Resolução).

E quais são esses critérios gerais (constantes do inciso I, do art. 4º)?

São dois:

Tratamento de dados pessoais em larga escala, que pode ser considerado quando o tratamento de dados pessoais abranger número significativo de titulares, considerando o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado.

E o que seria esse “número significativo de titulares”?

A lei não trouxe um parâmetro objetivo, de modo que apenas a aplicação na prática vai nos demonstrar o que é, de fato, larga escala.

Na dúvida, é interessante que você não pressuponha o enquadramento da sua empresa como agente de tratamento de pequeno porte e faça a adequação dentro dos parâmetros normais trazidos pela Lei Geral de Proteção de Dados.

Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Neste caso, estamos diante de situações em que a atividade de tratamento pode impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Uma startup que possui robôs que fazem leitura facial, por exemplo, não poderia, a partir deste critério, se enquadrar como agente de tratamento de pequeno porte dado o grande potencial de afetar significativamente direitos fundamentais dos titulares.

Esses dois são, portanto, os dois critérios gerais.

Além desses, é necessário que se verifique pelo menos um dos critérios específicos (constantes do inciso II, do mesmo art. 4º da Resolução), que são:

1. Uso de tecnologias emergentes ou inovadoras;

2. Vigilância ou controle de zonas acessíveis ao público, que são “espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros” (inc. IV, do art. 2º, da Resolução).

3. Decisões exclusivamente automatizadas, inclusive aquelas que definem um perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

4. Uso de dados pessoais sensíveis ou de crianças, de adolescentes e de idosos.

Dessa forma, se a sua empresa fizer o chamado tratamento de dados de alto risco, as benesses trazidas pela nova Resolução não se aplicam ao seu negócio.

Como a definição do que é alto risco não é tão simples, a lei prevê que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes na avaliação desse tratamento.

Agora, finalmente, se você passou no teste do tratamento de alto risco com tranquilidade, vamos entender quais são os benefícios trazidos pela Resolução para os agentes de tratamento de dados de pequeno porte.

3. Benefícios trazidos pela Resolução CP/ANPD nº. 02 para os agentes de tratamento de dados de pequeno porte.

O primeiro benefício trazido pela Resolução CP/ANPD é a possibilidade de elaborar um Registro das Atividades de Tratamento de forma simplificada (art. 37, da Lei Geral de Proteção de Dados), a partir de um modelo que ainda será elaborado e fornecido pela ANPD (art. 9º da Resolução).

Nesse ponto, é importante entender que a LGPD ainda é muito nova e demandará muita regulamentação da ANPD.

Justamente por isso, a Resolução sob análise ainda tem muitos conceitos abertos e se encontra na dependência de legislação suplementar, o que deverá acontecer nos próximos meses.

O segundo benefício constante da Resolução é a flexibilização ou procedimento simplificado de comunicação de incidente de segurança, o que também carece de regulamentação específica (art. 10º da Resolução).

O terceiro benefício é a extensão dos prazos para algumas situações. A Resolução, inclusive, apresenta um capítulo específico sobre esse assunto, denominado “Dos Prazos Diferenciados” (artigos 14 e 15 da legislação em comento).

O prazo será em dobro para o atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º, da LGPD, nos termos de regulamentação específica.

Também será em dobro na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, “exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento” (inciso II, do art.14).

Igualmente em dobro será o prazo no fornecimento de declaração clara e completa (art. 19, II, da LGPD) e em relação aos prazos estabelecidos nos normativos próprios e que se refiram à apresentação de informações, documentos, relatórios e registros solicitados pela ANPD e outros agentes de tratamento.

Da mesma forma, está previsto o prazo de 15 (quinze) dias, contados da data do requerimento do titular, para fornecer a declaração simplificada de que trata o art. 19, I, da LGPD, contados da data do requerimento do titular.

A despeito dos prazos estendidos constantes da Resolução, é importante destacar, contudo, que os prazos originais trazidos pela LGPD são bastante exíguos, de modo que, mesmo em dobro, ainda estamos diante de prazos muito curtos. As empresas que mantiverem monitoramento de dados deficiente ou desorganizado não terão condições de manter os prazos estabelecidos em lei.

O quarto benefício trazido pela Resolução é a possibilidade de estabelecer uma política simplificada de segurança da informação (art. 13º). Esse benefício, na verdade, integra o capítulo da segurança e boas práticas, e visa destacar que os agentes de tratamento de pequeno porte devem sempre adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança.

E o que seriam esses requisitos mínimos? Podemos mencionar, a título exemplificativo, a aquisição de programas de computador originais, o controle de senhas, a restrição de acesso ao bando de dados, a separação entre senhas de Wi-Fi para empregados e colaboradores e visitante, além da manutenção de antivírus sempre atualizados, além de outras medidas que forem aconselhadas pelo técnico de TI que presta serviço para a sua empresa.

Finalmente, o quinto e mais esperado benefício que consta da Resolução é a possibilidade de os agentes não indicarem um encarregado de dados, isto é, o tão aclamado DPO (Data Protection Officer).

O DPO, ou encarregado de dados, é o profissional que será responsável pelo relacionamento da sua empresa com todas as partes interessadas no tratamento de dados, isto é, colaboradores, titulares dos dados, sociedade, fornecedores e ANPD.

O encarregado é, assim, uma pessoa física que o controlador (aquele que coleta as informações e define como será o tratamento de dados) irá indicar como canal de comunicação com as autoridades. Para saber mais sobre esse assunto, não deixe de verificar um outro texto aqui do Blog, em que tratamos sobre esse assunto com mais profundidade (https://vaneskadonato.adv.br/11-questoes-sobre-lei-geral-de-protecao-de-dados-que-vao-te-ajudar-a-comecar-a-adequar-a-sua-empresa/).

Se a sua empresa optar por não ter um profissional com essa designação, será necessário disponibilizar um canal para a comunicação com o titular de dados (art. 11, § 1º, da Resolução).

A lei esclarece, ainda, que, se mesmo sendo um agente de pequeno porte, a sua empresa decidir nomear um DPO, isso será considerado como uma política de boas práticas e governança (art. 11, § 2º, da Resolução).

Todas as demais disposições da LGPD continuam sendo aplicáveis a empresas de todos os portes sem qualquer tipo de alteração, e é por isso que o art. 6º da Resolução possui a seguinte redação:

“A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais bem como direitos dos titulares”.

Por isso, não negligencie a aplicação da LGPD na sua empresa e tome medidas efetivas para a adequação!

4. A organização dos agentes de tratamento de dados de pequeno porte em entidades de representação.

A Resolução também traz uma novidade em seu art. 8º, que abrange também os agentes de pequeno porte que fazem tratamento de alto risco.

É a possibilidade de se organizarem por meio de entidades de representação da atividade empresarial para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

A lei faculta a possibilidade de que a referida organização seja feita tanto por pessoas jurídicas ou por pessoas naturais, podendo ser, de fato, um mecanismo interessante para alguns modelos de negócio, especialmente para evitar uma judicialização excessiva dos conflitos que podem advir da aplicação da lei.

5.Como a Resolução CP/ANPD nº. 02 impacta o seu negócio e a sua adequação à LGPD.

Havia uma grande expectativa para uma Resolução que minimizasse muito os efeitos da LGPD para as pequenas empresas, mas essa expectativa não se concretizou.

A Resolução não apenas deixou de trazer as mudanças esperadas pela maioria, como ainda trouxe novos conceitos que vão depender de análise mais aprofundada dos aplicadores da lei.

A realidade é que todas as empresas continuam necessitando tomar cautelas para adequação, sendo necessária a contratação de uma assessoria jurídica especializada para que não haja violações à norma e as consequências dela decorrentes, como multas, indenizações e abalo da reputação.

As informações sobre os dados pessoais, devidamente organizadas em um projeto de adequação, serão essenciais em procedimentos iniciados pela ANPD em caso de incidentes de vazamento de dados.

Ademais, como mencionamos acima, os prazos, mesmo dobrados, continuam bastante reduzidos, o que significa que se a sua empresa tiver um monitoramento de dados muito deficitário, não será possível cumprir os prazos legais.

Agora que você acompanhou o texto até o final, teve a oportunidade de aprender várias coisas, como o que são os agentes de tratamento de dados pessoais de pequeno porte, o que é tratamento de dados de alto risco, quais são os benefícios trazidos pela Resolução CP/ANPD nº. 02 e a possibilidade de organização dos agentes em entidades de representação de atividade empresarial para fins de negociação, mediação e conciliação de reclamações.

Considerando tudo que você conseguiu compreender, a sua percepção é de que a Resolução ajudou na adequação da sua empresa? Me conta aqui nos comentários.

3 comentários em “Tenho uma empresa de pequeno porte, preciso me adequar à Lei Geral de Proteção de Dados (LGPD)?”

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Compartilhe

Facebook
LinkedIn
WhatsApp
Telegram
Fale agora com um Advogado