Nesse artigo vamos discorrer sobre as propostas de flexibilização da LGPD para microempresas e empresas de pequeno porte.
Contudo, importante ressaltar, que independente das flexibilizações para os agentes de tratamento de pequeno porte, os princípios e as hipóteses de tratamento previstos no art. 6º. e 7º. da LGPD devem ser respeitados.
É sabido que o investimento a ser dispendido com um projeto de adequação à LGPD não é baixo, o que, pode levar as microempresas e empresas de pequeno porte a falsa crença de não ser possível se adequarem a lei.
Vale lembrar que o art. 55-J, inciso XVIII da LGPD prevê procedimentos simplificados e diferenciados para as microempresas e empresas de pequeno porte e, também, para as startups ou empresas inovadoras, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD).
Dessa maneira, a agenda regulatória da ANPD incluiu em seu item 3 uma ação para tratar da “proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos” e no último dia 30 de agosto submeteu a minuta de resolução à consulta pública, sendo que as sugestões devem ser enviadas até 29 de setembro através da plataforma Participa Mais Brasil.
Nos dias 14 e 15 de setembro houve uma audiência pública por meio do canal da ANPD no Youtube.
No início da citada resolução constam os conceitos de microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que foram denominados “agentes de tratamento de pequeno porte”, conforme trecho a seguir:
Art. 2º Para efeitos desta resolução são adotadas as seguintes definições:
I – microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006;
II – startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021;
III – pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;
IV – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
Como dito, apesar de visar flexibilizar algumas regras, a ANPD ressalta que o porte da empresa “não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios do art. 6º. da LGPD.”
Além disso, de acordo com o previsto no art. 3º da minuta da resolução, as flexibilizações não se aplicam para agentes que fazem tratamento de alto risco e em larga escala, como dados sensíveis ou de grupos vulneráveis (como de crianças, adolescentes e idosos), dados de vigilância ou controle de zonas acessíveis ao público, uso de tecnologias emergentes que podem causar danos materiais ou morais aos titulares e tratamento automatizado que afetem os interesses dos titulares (como a definição de perfil). Para esses casos, a ANPD irá disponibilizar guias e orientações para que os agentes de tratamento de pequeno porte possam avaliar se se enquadram nesses casos.
1 – A resposta às requisições dos titulares em relação aos seus direitos6 (art. 18) pode ser feita por meio eletrônico ou impresso, além de serem dispensados de viabilizar a portabilidade dos dados a outro fornecedor de produto ou serviço (art. 18, inciso V) e de optar por anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou em desconformidade com a LGPD (art. 18, inciso IV);
2 – Dispensa de fornecer declaração completa e clara, conforme art. 19, inciso II, da LGPD;
3 – Dispensa da obrigação de manutenção de registros das operações de tratamento, prevista no art. 37 da LGPD;
4 – Relatório de Impacto à Proteção de Dados Pessoais (RIPD) simplificado, quando exigido, a ser regulamentada em resolução específica;
5 – Possível dispensa, flexibilização ou simplificação de procedimento para comunicação de incidente de segurança, a ser regulamentada em resolução específica;
6 – Dispensa de indicação do Encarregado pelo Tratamento de Dados Pessoais (art. 41 da LGPD), mas com a disponibilização de um canal de comunicação para uso do titular;
7 – Adoção de medidas administrativas e técnicas essenciais e necessárias em relação à segurança da informação, com base em guia orientativo que a ANPD irá disponibilizar;
8 – Política de segurança simplificada, abordando os requisitos essenciais para o tratamento de dados pessoais, para proteção contra acesso não autorizado, destruição, perda, alteração e qualquer forma de tratamento inadequado ou ilícito, considerando o custo de implementação, estrutura, escala e volume das operações, bem como criticidade dos dados;
9 – Prazo em dobro, para atendimento às requisições dos titulares, comunicação à ANPD e demais prazos estabelecidos pela Autoridade em normativos próprios;
Nota-se que a ANPD vem exercendo seu papel educativo e que a LGPD não veio para inviabilizar o modelo de negócio das empresas. Ao contrário, a LGPD tem como fundamentos o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e ao mesmo tempo, conferindo proteção aos direitos fundamentais de liberdade e de privacidade do titular de dados.
Por fim, sugestões da sociedade podem ser enviadas à minuta da resolução, o que, certamente, possibilitará que o texto inicial poderá ser melhorado
O Escritório Noronha e Nogueira Advogados está atento e compromete-se a manter seus clientes atualizados quanto às notícias relacionadas à LGPD.
Você também pode se interessar por:
Empresários, Atenção! Ações Trabalhistas já estão sendo distribuídas com fundamento na LGPD
Câmeras de segurança e vigilância nas empresas sob a ótica da LGPD
Como o RH da empresa deve atuar para estar em conformidade com a LGPD?
Impactos da LGPD nas relações trabalhistas.
LGPD: Como controlar os dados dos colaboradores?
Se você tem dúvidas quanto a implementação da LGPD na sua empresa, entre em contato conosco agora mesmo clicando aqui.
Sua empresa precisa de CONSULTORIA E ADEQUAÇÃO PARA A LGPD?
Melissa Noronha M. de Souza Calabró é sócia no escritório Noronha & Nogueira Advogados.
Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya
Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.
É membro efetivo da Comissão de Coaching Jurídico da OAB/SP.