Buscar
  • Carvalho Pereira Fortini

A LGPD e as microempresas, empresas de pequeno porte e startups


Saiba sobre a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022

Por Greycielle Amaral


Desde o advento da LGPD se discute como conciliar a proteção de dados pessoas imposta pela lei às limitações econômicas e operacionais das microempresas, empresas de pequeno porte e startups.


Se por um lado não se poderia ignorar a necessidade de tratamento de dados pelas pessoas jurídicas assim enquadradas, ainda mais diante do fato de que “o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas[1]”, por outro, não justificariam exigências que rivalizariam com o tratamento diferenciado a que elas fazem jus, cuja matriz é constitucional, consoante prevêem os artigos 170, IX e 179.


Essa a máxima do princípio da igualdade: “tratar diferentemente os desiguais na medida da sua desigualdade”. Empresas de pequeno porte devem ser destinatárias de tratamento diferenciado, porque os encargos precisam se compatibilizar com a capacidade de com eles lidar. Deve ser destacado que o impulso que a ordem jurídica confere às empresas assim catalogadas é tributável ao reconhecimento de sue papel na engrenagem da economia, em especial à sua importância na geração de empregos.


De se recordar que já existem várias leis no Brasil a traduzir as regras constitucionais e calibrar as obrigações ou mesmo criar ambiente de preferência, com destaque para a Lei Complementar 123/06 que define micro e pequenas empresas a partir da receita anual e prevê diversas modelagens de tratamento favorecido, inclusive no que toca a aspectos tributários, trabalhistas e relacionados ao universo das contratações públicas.


A ANPD, agência reguladora encarregada de fixar as balizas a partir dos ditames da Lei 13.709 constatou, por meio de eventos realizados - Tomada de Subsídios, Consulta Pública e Audiência Pública, - a “baixa maturidade e a falta de uma cultura de proteção de dados pessoais pelos agentes de pequeno porte” e isso poderia “dificultar a adequação desses agentes aos ditames da LGPD e, eventualmente, pode inviabilizar sua existência”.


Neste cenário, em 24/01/2022, foi aprovada pelo Conselho Diretor da ANPD a Resolução CD/ANPD Nº 02, que regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, tendo como objetivo facilitar a adequação à LGPD.


Principais aspectos da LGPD alvos da Resolução:


- Quem são os abrangidos pelo tratamento diferenciado;

- Quem não pode se beneficiar da resolução mesmo preenchendo os requisitos;

- Encarregado de dados;

- Forma do registro das atividades;

- Forma e prazos para atender os titulares dos dados e a ANPD;

- Segurança e Boas práticas;

- Método adequado de Solução de Conflito.


Passemos ao detalhamento de cada um dos pontos citados acima:


- Quem são os abrangidos pelo tratamento diferenciado


- microempresas;

- empresas de pequeno porte;

- startups;

- pessoas jurídicas de direito privado, sem fins lucrativos;

- pessoas naturais e entes privados despersonalizados;


O rol acima foi enquadrado como “agentes de tratamento de pequeno porte”, vez que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.


A Resolução esclarece que as microempresas e empresas de pequeno porte abrangem: a sociedade empresária, a sociedade simples, a sociedade limitada unipessoal (antigas empresas individuais de responsabilidade limitada), o empresário a que se refere o art. 966 da Lei nº 10.406/2002,incluindo o microempreendedor individual, devidamente registrados no órgão competente, nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;


Segundo critérios da Lei Complementar 123/2006, as microempresas podem ter faturamento anual de até R$ 360 mil; o microempreendedor individual, faturamento anual máximo de R$ 81 mil e as empresas de pequeno porte, faturamento anual de até R$ 4,8 milhões.


As startups, por sua vez, são as organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182/2021; ou seja, (i) empresas com até 10 anos de inscrição no Cadastro Nacional de Pessoa Jurídica (CNPJ); (ii) faturamento bruto anual máximo de R$ 16 milhões; e (iii) que utilizem modelos de negócios inovadores para geração de produtos ou serviços.


- Quem não pode se beneficiar da resolução mesmo preenchendo os requisitos


De forma acertada, a ANPD excluiu alguns agentes de tratamento que, mesmo se enquadrando no conceito de “pequeno porte” trazido pela Resolução, não podem ser contemplados com as flexibilizações e dispensas previstas, em razão do que a norma considerou “alto risco”


De acordo com a Resolução, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a, pelo menos, um critério geral e um critério específico, conforme conceitos abaixo:


CRITÉRIO GERAL

- Tratamento em larga escala: quando envolver número significativo de titulares, considerando-se, ainda, volume de dados, bem como duração, frequência e extensão geográfica do tratamento.


- Tratamento que possa afetar significativamente interesses e direitos fundamentais, a exemplo: impedimento de exercício de direito; impedimento de utilização de um serviço; geração de danos morais ou materiais (discriminação, violação integridade física, direito imagem, direito reputação, fraude financeira, fraude)


CRITÉRIO ESPECIFICO


- Uso de tecnológica emergente ou inovadora;


- Vigilância ou controle de “zonas acessíveis ao público”, sendo estas zonas caracterizadas como espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.



- Decisões tomadas unicamente com base no tratamento automatizado, inclusive, aquelas destinadas a definir perfil pessoal, profissional, de saúde, de consumo e de crédito ou aspectos da personalidade;


- Utilização dados sensíveis ou de criança, adolescente e idoso


Destaca-se que a ANPD poderá solicitar ao agente de pequeno porte a comprovação do preenchimento dos requisitos para o enquadramento, a ser atendido no prazo de até 15 dias.


Importante, assim, uma análise cuidadosa sobre o enquadramento dos agentes de tratamento beneficiados, considerando a combinações de fatores que a Resolução impõe.


- Encarregado de dados


Os agentes de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais. Trata-se de mecanismo voltado a amalgamar o dever de respeitar a LGPD sem descurar da realidade dos agentes de pequeno porte.


Mas, há que se atentar para uma condição imposta: disponibilizar canal de comunicação com o titular de dados, para atender o disposto no art. 41, § 2º, I da LGPD.


Nada impede, entretanto, que os agentes de tratamento de pequeno porte indiquem o encarregado. O estímulo para isso é que a ANPD reconhece como política de boa prática e governança que tem o alcance de minimizar eventual aplicação de sanção administrativa.


- Forma do registro das atividades


Uma medida que, induvidosamente, ajuda e facilita a regularidade dos agentes de tratamento de pequeno porte é a possibilidade de elaborar e manter o registro de suas operações de forma simplificada e, ainda, conforme modelo que será fornecido pela ANPD.


- Forma e prazos diferenciados para atender titulares dos dados e ANPD


Mesmo já antecipado anteriormente, importante repisar que os direitos dos titulares não se alteram, mesmo diante das flexibilizações ofertadas aos agentes de pequeno porte. E nem poderiam, dado que a Resolução há de se amoldar à lei. São os mesmos dispostos no art. 9º e 18 da LGPD. Eles poderão ser atendidos por meio eletrônico, impresso ou qualquer outro meio que assegure a informação.


Os agentes destinatários da Resolução terão prazo em dobro:

- para atender direitos dos titulares;

- para comunicar incidente de segurança à ANPD e ao titular (exceto casos com potencial comprometimento integridade física e moral do titular ou segurança nacional, que deverá atender prazos conferidos aos demais agentes de tratamento);

- para fornecer declaração completa ao titular de dados (LGPD = 15 dias. Então, seriam 30 dias).

- em relação aos fixados em normativos para apresentar informação, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento;


O prazo para confirmar existência de tratamento de dados em formato simplificado foi fixado em, até 15 dias, contado do requerimento;


- Segurança e Boas Práticas


O fato de se tratar de agente de tratamento de pequeno porte não exclui a obrigação de adoção de medidas administrativas e técnicas essênciais e necessárias, que devem observar requisitos mínimos de segurança da informação para a proteção dos dados pessoais.


A Resolução admite o estabelecimento de uma política simplificada de segurança da informação, que deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.


Vale ficar atento para o fato de que a ANPD reconhece que a simplificação dos procedimentos vai ao encontro das demandas dos agentes de tratamento de pequeno porte, mas ela vai continuar jogando luzes para aqueles que observam as recomendações e as boas práticas de prevenção e segurança por ela divulgadas, inclusive por meio de guias orientativos. Isso terá reflexo no momento de se estabelecer responsalizações e aplicação de sanções, oportunidade em que a análise também compreenderá a exitencia de política simplifica de segurançada informação.


- Método adequado de Solução de Conflito


A Resolução abre o caminho para que os agentes de tratamento de pequeno porte, incluindo aqueles que realizam tratamento de alto risco, se organizem por meio de entidade de representação, para negociação, mediação, conciliação relativamente a reclamações apresentadas pelos titulares de dados pessoais.


- Observações finais


É preciso ficar atento para o fato de que aquilo que não estiver disposto no regulamento é porque permanece valendo (i) os dispositivos da LGPD, inclusive bases legais e princípios; (ii) outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.


Outra situação que merece atenção é que ANPD reservou-se o direito de determinar ao agente de tratamento alvo da Resolução o cumprimento das obrigações dispensadas ou flexibilizadas, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.


Vale dizer, em situações pontuais, o tratamento favorecido esmaecerá em prol da proteção dos titulares de dados pessoais, mesmo que a entidade se encaixe no perfil de que cuida a Resolução.

 

[1]https://www.gov.br/anpd/pt-br/assuntos/noticias/conselho-diretor-aprova-regulamento-de-aplicacao-da-lgpd-para-agentes-de-tratamento-de-pequeno-porte

110 visualizações0 comentário