A Lei Geral de Proteção de Dados aplicada às Micro e Pequenas Empresas

Microempresários e Empresários de Pequeno Porte foram diretamente afetados pela promulgação da Lei nº 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados (LGPD). Isto porque, a legislação de proteção de dados impõe novos desafios ao ecossistema empresarial e requer investimento direto para a correta adequação às disposições legais. Tais investimentos, segundo levantamento realizado pelo jornal Valor Econômico, podem chegar à casa das centenas de milhares de reais, tornando inviável a adequação das micro e pequenas empresas.

Pensando nisso, a LGPD determinou, em seu art. 55-J, inciso XVIII, que a Autoridade Nacional de Proteção de Dados (ANPD) será responsável por “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e startup possam se adequar à nova lei”. Com a nomeação dos integrantes da ANPD e o início da agenda reguladora da Autoridade, esta temática foi retomada e, no segundo semestre de 2021, por meio de Tomada de Subsídios e Consulta Pública, uma minuta-base foi apresentada. Destaca-se que o texto final ainda poderá sofrer alterações. No entanto, com base na minuta da resolução apresentada pela ANPD, é possível vislumbrar as alterações que serão aplicáveis à estas empresas.

Para a LGPD, Microempresa e Empresa de Pequeno Porte são as sociedades empresárias, sociedades simples e empresário que se enquadram nos termos do art. 3º da Lei Complementar 123/2006, bem como o Microempreendedor Individual. Ou seja, são aquelas empresas que possuem faturamento anual de até R$ 4,8 milhões. Startup, por sua vez, é definida como organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que atendam os critérios da Lei Complementar 182/2021.

Segundo as disposições da minuta da resolução, quando for comprovada o porte da empresa ou sua caracterização como startup e, não sendo observada qualquer impedimento, o agente de tratamento, na condição de controlador ou operador,

1. Poderá atender as solicitações dos titulares por meio eletrônico ou digital;
2. Estará dispensado de conferir portabilidade aos dados dos titulares a outro fornecedor de serviço ou produto;
3. Quando solicitado pelo titular, poderá optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
4. Estará dispensado de fornecer declaração completa e clara, quando do exercício dos direitos pelos titulares;
5. Estará dispensado de manter registros de operações de tratamento de dados;
6. Poderá preencher Relatório de Impacto à Proteção de Dados Pessoais simplificado, quando exigido. Este ponto será regulamentado em resolução específica para este fim;
7. Poderá ser dispensado, flexibilizado ou simplificado o procedimento para comunicação de incidente de segurança.
8. Estará dispensado de indicar um Encarregado de Proteção de Dados;
9. Estará obrigado a adotar medidas administrativas e técnicas essenciais e necessárias em relação à segurança da informação, baseados no Guia Orientativo já disponibilizado pela ANPD;
10. Poderá elaborar e disponibilizar uma Política de Segurança simplificada, apenas com os requisitos essenciais sobre o tema; e
11. Terá prazo em dobro para atendimento às requisições dos titulares, comunicação à ANPD e demais prazos estabelecidos pela ANPD.

Destaca-se que a flexibilização das regras da LGPD para micro e pequenas empresas não alteração o direito fundamental que os titulares de dados têm à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios que norteiam a proteção de dados no país. Além disso, as flexibilizações previstas na minuta não são aplicáveis aos agentes, mesmo que enquadrados pelo porte, que fazem tratamento de alto risco e larga escala e que envolve (i) dados pessoais sensíveis ou de grupos vulneráveis; (ii) vigilância ou controle de zonas acessíveis ao público; (iii) uso de tecnologias emergentes, que podem ocasionar danos materiais ou morais aos titulares; e (iv) tratamento automatizado que afetam os interesses dos titulares.

É importante ressaltar que as disposições da minuta da resolução ainda poderão sofrer alterações. No entanto, até a aprovação do texto final, estas disposições são fundamentais para pautar os projetos de adequação à LGPD das micro e pequenas empresas.

O Manucci Advogados possui uma equipe especializada nas legislações de proteção de dados e está à disposição para atendê-lo.

Por

Manucci Advogados

Departamento de Redação e Conteúdo Técnico do Escritório Manucci Advogados.

See author's posts