Após a entrada em vigor das sanções administrativas previstas na lei 13.709/2018, a preocupação das empresas quanto à necessidade de adequação às regras de proteção de dados ganhou ainda mais força, mas em contrapartida ainda existem muitas dúvidas sobre algumas das previsões legais, principalmente quanto à equiparação e proporcionalidade das exigências feitas para uma empresa de grande porte e uma empresa de pequeno porte.
Para iniciar as tratativas definitivas sobre o tema, a Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 30 de agosto, no Diário Oficial da União (DOU), a consulta pública sobre a minuta de resolução que regulamentará a aplicação da Lei Geral de Proteção de Dados (LGPD) para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais que se autodeclarem startups ou sem fins lucrativos, deixando desde já agendada para os dias 14 e 15 de Setembro uma audiência pública para debater a proposta e receber contribuições da sociedade sobre o tema.
No texto da proposta existem flexibilizações de algumas regras que até então eram direcionadas para 100% das empresas, sem qualquer exceção, como, por exemplo, a necessidade de indicação de um encarregado de dados (DPO).
Mas, para ter direito a essas flexibilizações é necessário fazer o enquadramento correto da empresa em uma dessas categorias e para isso o texto traz as seguintes definições:
- Microempresas e empresas de pequeno porte: S/S, Sociedade Empresária, Eireli, empresário de atividade econômica organizada para a produção ou a circulação de bens ou de serviços, MEI.
- Startups: Organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados.
- Pessoas jurídicas sem fins lucrativos: Associações, Fundações, Organizações Religiosas e Partidos Políticos.
Paralelamente foram trazidos como critérios ter uma receita bruta de até R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a doze meses e a proibição de realizar o tratamento de dados pessoais em grande volume e com risco alto conforme se verá adiante.
Para fins dessas novas regras são considerados riscos altos, os dados pessoais sensíveis, enquadrados pelo grupo de vulneráreis, crianças, adolescentes e idosos, controle por vigilância de zonas acessíveis ao público, o uso de tecnologias emergentes, além da utilização de tratamento automatizado dos dados pessoais. Enquanto que por larga escala, entende-se quando abranger um número significativo de titulares, duração, frequência e extensão geográfica do tratamento.
Outro ponto importante é sobre o ônus da comprovação de enquadramento em uma dessas categorias societárias, o qual caberá ao próprio agente de tratamento, ou seja, não basta a empresa utilizar as isenções e flexibilizações trazidas pelo texto se, caso questionada, não puder comprovar que de fato se enquadra em uma dessas categorias, sob o risco de que durante eventualmente fiscalização a ANPD altere o entendimento sobre esta categorização.
Portanto, ainda que a Autoridade traga exceções que tem por consequência benefícios para algumas empresas, será necessário um olhar rigoroso e com análise profunda se realmente as características estão sendo cumpridas e se apliquem ao caso concreto, a fim de evitar um enquadramento errôneo com consequentes prejuízos.
Importante frisar que a proposta da resolução apresentada não isenta essas mesmas categorias de empresas do cumprimento das outras normas presentes na Lei 13.709/2018 relativas à proteção dos dados pessoais que não tiverem sido alteradas pelas novas regras, ou seja, ainda que passem a existir pontos específicos que não serão mais exigidos, todos os outros continuarão sendo.
Como exemplo disso, temos o próprio direito dos titulares dos dados pessoais, que é uma normativa indiscutível, que continuará sendo exigida de todas e quaisquer empresas, independente da categoria.
O que de fato passará a ser flexibilizado para empresas de pequeno porte, startup e pessoas jurídicas sem fins lucrativos caso essa proposta seja publicada sem qualquer mudança é:
- Possibilidade de atendimento por meio eletrônico ou impresso às solicitações dos titulares;
- Realizar declaração simples para solicitações de confirmação de existência ou o acesso a dados pessoais;
- Faculdade de proceder com o pedido de portabilidade pelo titular; e
- Optar entre a anonimização, o bloqueio ou eliminação dos dados excessivos ou em desconformidade com a LGPD, quando houver a solicitação pelo titular.
- Optar pelo registro das operações de tratamento de forma simplificada (Mapeamento);
- Realizar de forma simplificada o relatório de impacto à proteção de dados pessoais;
- Possibilidade de dispensa, flexibilização ou simplificação da comunicação dos incidentes de segurança;
- Dispensa de indicação de DPO/Encarregado de dados;
Chamamos atenção especificamente ao item que flexibiliza o mapeamento das operações de tratamento, que poderá ser feito de forma simplificada, por faculdade do agente, mas que será levado em consideração no caso de eventual infração cometida. Essencial que as empresas tenham a orientação correta sobre como fazer, principalmente de forma simplificada, uma vez que uma má elaboração deste documento e/ou uma má gestão dessas informações podem culminar não conseguir atender as outras obrigações da legislação que são provenientes do mapeamento e, assim, sofrer prejuízos, multas, sanções, etc.
Portanto, ainda que a empresa se enquadre nos conceitos trazidos pelo texto da resolução e passe a ter direito à flexibilização de algumas exigências, essas mesmas empresas continuarão obrigadas a estar em conformidade com a LGPD, de respeitar os princípios, de levantar e formalizar informações, de atender os direitos dos titulares, de acionar a ANPD e caso de incidentes, de tomar todas as medidas possíveis relacionadas à segurança da informação e boas praticas, entre tantas outras regras.
Por Letícia Jacobina Mendonça, Heloisa Barcellos Polo Alves e Jaqueline Bin Boaretto Manfrin
***Este documento foi elaborado exclusivamente para fins informativos, não devendo ser considerado como opinião legal ou consulta jurídica. No caso de dúvidas, nossos advogados estão à disposição para esclarecimentos.
***A reprodução ou divulgação do conteúdo desta publicação é permitida, desde que acompanhada da menção de reserva de direitos autorais, da seguinte forma: ©Laure Defina Sociedade de Advogados.