Aplicação da Lei Geral de Proteção de Dados (LGPD) aos agentes de tratamento de pequeno porte

Aplicação da Lei Geral de Proteção de Dados (LGPD) aos agentes de tratamento de pequeno porte | Juristas
Rafaela Vialle Strobel Dantas

Visando contribuir com a Autoridade Nacional de Proteção de Dados
na Tomada de Subsídios nº 1/2021, para regulamentação da Lei Geral de
Proteção de Dados em relação à microempresas e empresas de pequeno porte,
iniciativas empresariais de caráter incremental ou disruptivo, startups ou
empresa de inovação e pessoas físicas que tratam dados pessoais com fins
econômicos, em fevereiro de 2021 participamos do trabalho de pesquisa
organizado pela Comissão e Inovação e Gestão da OAB/PR, apresentando
contribuições que foram levadas pela Presidência à Autoridade Nacional de
Proteção de Dados1.

Dentre as perguntas que a ANPD buscava resposta estavam algumas
relacionadas à experiência internacional aplicável a estes agentes de
tratamento, tal como descritos no art. 55-J, XVIII, e sobre como a União Europeia
tem atuado para que eles estejam em conformidade com o General Data
Protection Regulation (GDPR).

Nos apontamentos que efetuamos na oportunidade iniciamos pela
reflexão de que o GDPR apesar de ter entrado em vigor somente a partir de
2016, com aplicação a partir de 2018, traduz matéria regulamentada há longa
data dentro da União Europeia. Em regra, o Parlamento e o Conselho Europeu
fazem uso de Diretivas para exigir que os Estados-membros alcancem
determinados resultados, deixando às instâncias nacionais a competência
quanto à forma e aos meios. Para que a Diretiva produza efeitos a nível nacional,
os Estados-membros devem editar uma Lei para sua transposição. A
transposição nacional é obrigatória e caso um país não a realize a Comissão
poderá iniciar um processo por infração junto ao Tribunal de Justiça da União
Europeia.

E foi assim que o tema da proteção de dados foi tratado na
comunidade Europeia desde 1995. A Diretiva 1995/46 foi a primeira a tratar
sobre o direito à proteção de dados na União Europeia. Com 72 “considerandos”
e 34 artigos determinava que os Estados-membros editassem leis nacionais
sobre a proteção de dados para assegurar a proteção das liberdades e dos
direitos fundamentais das pessoas singulares, nomeadamente do direito à vida
privada, no que diz respeito ao tratamento de dados pessoais.

A Diretiva vigorou por mais de 20 anos quando, então, em 2016, foi
revogada pelo GDPR, muito em razão das mudanças tecnológicas ocorridas
uma vez que foi editada em um momento ainda incipiente da internet. Nos termos
do Considerando 9º do GDPR, os princípios da Diretiva continuam valendo, mas
o GPPR traz novos conceitos e adapta a legislação às novas tecnologias, bem
como harmoniza a legislação sobre proteção de dados nos Estados-membros.

Aplicação da Lei Geral de Proteção de Dados (LGPD) aos agentes de tratamento de pequeno porte | Juristas
Dafini Boldrini

O GDPR, assim como a LGPD, não traz em seu texto o conceito de
microempresa e empresa de pequeno porte, mas a Comunidade Europeia define
em outros normativos parâmetros para classificação das empresas como microempresas, empresas de pequeno porte e médias empresas2. E da mesma forma que a LGPD, o GDPR não isenta essas empresas de cumprir com as suas
obrigações, mas permite que as suas características peculiares sejam
observadas no momento da aplicação das regras sobre privacidade e proteção
de dados.

Como regra as ME e EPP são obrigadas a garantir aos seus titulares
de dados os direitos básicos listados no GDPR; isso implica que as ME e EPP
devem garantir que existam sistemas e processos implementados para que
esses direitos sejam cumpridos dentro do prazo legal estabelecido. Uma vez
mapeados os dados tratados, até mesmo as ME e EPP são obrigadas pelo
GDPR a avaliar quais tipos de processamento de dados podem resultar em um
alto risco para os indivíduos.

Porém, é incentivado que as instituições, os órgãos da União, os
Estados-Membros e as suas autoridades de controle levem em consideração as
necessidades específicas das ME e EPP no âmbito de aplicação do GDPR. Em
alguns casos é permitida a flexibilização de medidas específicas, conforme as
necessidades das ME e EPP, dentre elas:

a) Códigos de Conduta: No considerando 98 e no art. 40, o GPDR
determina que os Estados-membros, as autoridades de controle, o Comitê, a
Comissão, as associações ou entidades representantes de categorias de
controladores e operadores deverão elaborar Códigos de Conduta com o
objetivo de facilitar a sua aplicação efetiva. Esses códigos devem levar em conta
as características do tratamento por setor e as necessidades específicas das
micro, pequenas e médias empresas.

b) Execução de competências da Comissão: Os Estados-membros
devem tomar medidas de direito interno necessárias para que sejam executados
os atos juridicamente vinculativos da União Europeia. A Comissão detém a
competência para estabelecer condições uniformes de execução desses atos. O
Considerando 167 do GDPR prevê que para assegurar condições uniformes
para sua execução a Comissão deverá ponderar medidas específicas para as
micro, pequenas e médias empresas.

c) Emissão de Certificações: O art. 42, do GPDR determina que serão
tidas em conta as necessidades específicas das micro, pequenas e médias
empresas nos procedimentos de certificação em matéria de proteção de dados,
para efeitos de comprovação da conformidade das operações ao Regulamento.

d) Registro de atividades: No Considerando 13 e no art. 30, 5º, do
GDPR, é prevista uma derrogação para as organizações com menos de 250
funcionários relativamente à conservação do registro de atividades de
tratamento de dados. Ou seja, empresas com menos de 250 funcionários não
têm que manter registros de suas atividades de processamento de dados
pessoais, a menos que o processamento seja uma ocorrência/atividade regular
que represente ameaça potencial aos direitos e liberdades dos indivíduos ou
inclua dados confidenciais ou registros criminais. Importante salientar que essa
é a única hipótese do GDPR que fornece isenção com base em critério
quantitativo.

e) Nomeação de encarregado: Em relação à nomeação do
encarregado de proteção de dados, também chamado de DPO, as ME e EPP
seguem a mesma regra das demais, prevista no art. 37, I, do GDPR.

No caso das ME e EPP sempre haverá a obrigatoriedade de nomear
um DPO ou encarregado quando o tratamento e dados exigirem um controle
regular e sistemático que possa representar ameaça aos direitos e liberdades do
indivíduo e quando o processamento for seu principal negócio, realizado em
grande escala.

Há inclusive recomendação3 específica para nomeação de
encarregado sempre que (i) se processe dados pessoais para direcionar
publicidade, por meio de motores de busca com base no comportamento online
de indivíduos e quando (ii) se processe dados relacionados à genética e saúde
para hospitais.

f) Aplicação de multas: Em relação às multas, o GDPR, no art. 83, 4º
e 5º, prevê limites máximos de 20 milhões de euros ou 4% do volume de
negócios global. Porém, os valores das multas poderão variar conforme a
legislação nacional. Na Lei portuguesa (Lei n. 59/2019), por exemplo, existem
valores mínimos previstos. Segundo o art. 52, em caso de infração grave a multa
mínima é de 1000 euros e de infrações muito graves 2000 euros para as PME.
A fixação do valor caberá à CNPD que tem em conta, entre outros critérios, o
volume de negócios, o balanço anual e a dimensão (nº de trabalhadores e
natureza dos serviços prestados) da empresa, assim como o caráter continuado
da infração4.

Consulta Pública da minuta de Resolução

Agora em 30 de agosto de 2021 a Autoridade Nacional de Proteção
de Dados – ANPD publicou Consulta Pública sobre a minuta de Resolução que
regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral
de Proteção de Dados Pessoais (LGPD), para microempresas e empresas de
pequeno porte, bem como para iniciativas empresariais de caráter incremental
ou disruptivo que se autodeclarem startups ou empresas de inovação, nos
termos do art. 55-J, inciso XVIII da lei, editada com base nos subsídios colhidos
na Tomada de Subsídios nº 1/2021. O tema estará aberto a debates pelos
próximos 30 dias.

A minuta de Resolução proposta reconhece que a redução de carga
regulatória e o estímulo à inovação são fatores fundamentais para o
desenvolvimento destes agentes e, consequentemente, do desenvolvimento do
país, e portanto, propõe equilibrar a flexibilização da adaptação deste grupo à
LGPD de acordo com o porte do agente de tratamento ao mesmo tempo que
garante os direitos dos titulares.

Dentre os principais pontos de destaque da minuta de Resolução
estão:

• Define como “agentes de tratamento de pequeno porte” as
microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem
fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes
despersonalizados que realizam tratamento de dados pessoais, assumindo
obrigações típicas de controlador ou de operador, além de trazer outras
definições interessantes em seu art. 2º.

• Determina que a dispensa e a flexibilização das obrigações
previstas na resolução não são aplicáveis aos “agentes de tratamento de pequeno porte” que realizem tratamento de alto risco e em larga escala para os
titulares.

• Considera como tratamento de alto risco aquele que utiliza dados
sensíveis ou de vulneráveis (crianças e adolescentes), de vigilância ou controle,
de uso de tecnologia emergente que possam ocasionar danos materiais ou
morais aos titulares e àqueles para fins de definição de perfil (pessoal,
profissional, de consumo e de crédito ou aspectos de sua personalidade).

• A organização que for caracterizada como “agente de tratamento
de pequeno porte” estará dispensada de manter o registro das atividades de
tratamento de dados pessoais.

• A organização que for caracterizada como “agente de tratamento
de pequeno porte” estará dispensada da indicação de Encarregado, devendo
sempre disponibilizar um canal de comunicação com o titular de dados.

• Se a organização for caracterizada como “agente de tratamento de
pequeno porte” poderá apresentar o Relatório de Impacto à proteção de dados
pessoais de forma simplificada quando for exigido.

• Os “agentes de tratamento de pequeno porte” terão prazo em
dobro no atendimento das solicitações dos titulares, comunicação de incidentes
e em outros prazos que futuramente vierem a ser estabelecidos pela ANPD.

Percebe-se que houve a preocupação em conceituar os “agentes de
tratamento de pequeno porte” e a criação de regras de flexibilização da aplicação
da LGPD que além de adotar o critério de porte do agente considera o risco que
o tratamento de dados possa causar ao titular, com o objetivo de facilitar a
adequação destes agentes sem, contudo, deixar de levar em consideração o
risco que o tratamento realizado pode causar aos titulares de dados pessoais.

Como se pode perceber o porte do agente de tratamento não tem o
condão de modificar o direito do titular à proteção de seus dados pessoais, nem
de desobrigar os agentes a observância da boa-fé e dos princípios da finalidade,
adequação, necessidade, livre acesso, qualidade dos dados, transparência,
segurança, prevenção, não discriminação e responsabilização e prestação de
contas, todos expressamente previstos na LGPD.

Conclusão

Na Europa, estima-se que 23 milhões de pequenos negócios tenham
sido impactados com o GDPR. Entre as maiores dificuldades para adequação
estão questões ligadas a tecnologia como segurança da informação e
armazenamento5. Um estudo realizado pelo GDPR.EU em 20196, um ano após
o GPDR passar a valer, estimou que a maioria (86%) dos pequenos negócios
haviam investido no compliance de proteção de dados. Dentre as razões para o
investimento estavam as seguintes: (i) porque é a Lei; (ii) não queriam ser
multados; (iii) é bom para os negócios; (iv) acreditam no direito à privacidade. A
pesquisa também concluiu que entre os principais investimentos estão a
contratação de treinamentos e consultorias, seguido por softwares e
equipamentos.

Aqui no Brasil, conforme dados disponibilizados pelo Sebrae7 existem
aproximadamente 19.228.025 empresas, das quais 85,27% são MEI ou ME. Segundo levantamento da Abstarups8 existem mais de 12.700 empresas
classificadas como startups. Se as dificuldades que vem sendo enfrentadas na
Europa são enormes, as que enfrentaremos por aqui não tendem a ser menores.

Portanto, a toda evidência, a flexibilização das regras para facilitar a
implementação da LGPD pelos “agentes de tratamento de pequeno porte” é
medida fundamental para o sucesso da Lei Geral de Proteção de Dados no
Brasil. Mas não só isso. A mudança de paradigma somente ocorrerá pela
capacitação dos indivíduos e da sociedade em relação à lei da empatia.

Muitas lacunas sobre questões específicas relacionadas à aplicação
da lei ainda permanecem e críticas quanto a isto no meio jurídico tem sido
implacáveis.

Porém de forma granular, a ANPD tem aplicado esforços para cumprir
com as suas obrigações de zelar e implementar a Lei Geral de Proteção de
Dados no país. Não podemos esquecer que a Europa vem lidando com o tema
de forma estruturada há pelo menos 25 anos e nós estamos apenas iniciando a
mudança cultural sobre a importância da proteção dos dados pessoais.

1 https://www.oabpr.org.br/wp-content/uploads/2021/02/Tomada-de-Subs%C3%ADdios-ANPD-Contribui%C3%A7%C3%B5es-OABPR-e-CIG-OABPR_assinado-1.pdf
2 Como exemplo a Recomendação 2003/361/EC.
3 https://ec.europa.eu/justice/smedataprotect/index_en.htm
4 Disponível em https://www.phcsoftware.com/business-at-speed/rgpd-portugal-multas/ Acesso
em 10/02/2021.
5Acesso em 10/02/2021. Disponível em <https://gdpr.eu/2019-small-business-survey/>
6 Acesso em 10/02/2021. Disponível em <https://gdpr.eu/wp-content/uploads/2019/05/2019- GDPR.EU-Small-Business-Survey.pdf>
7 https://datasebrae.com.br/totaldeempresas-11-05-2020/
8https://g1.globo.com/globonews/noticia/2020/01/15/numero-de-startups-no-brasil-aumentou-20-vezesnos-ultimos-oito-anos-11-ja-sao-unicornios.ghtml https://abstartups.com.br/radiografia-do-ecossistema/

Dafini Boldrini – Advogada, com atuação focada em proteção de dados e terceiro
setor. Pós-graduada em Compliance e Governança Jurídica pela Fae Business
School. Especialista em LGPD pela NextLaw Academy. Membro do Instituto
Nacional de Proteção de Dados e do Compliance Women Comittee.
Pesquisadora do Grupo de Discussão Permanente da Comissão de Inovação e
Gestão da OAB/PR, com o tema Direitos dos Titulares. [email protected]

Rafaela Vialle Strobel Dantas – Advogada com atuação nacional em direito
empresarial com foco em inovação, tecnologia, liderança e nos impactos da
economia digital no âmbito jurídico. MBA em Direito da Economia e da Empresa
pela FGV/RJ. Especialista em Direito Público pela ESMAFE-PR. Pós-graduação
em Direito Administrativo pela UNICURITIBA. Formação em liderança integral
pelo Programa ILP, da FAE Business School e NOVA de Lisboa. Membro da
Comissão de Inovação e Gestão da OAB/PR. [email protected]


Fique por dentro de tudo que acontece no mundo jurídico no Portal Juristas, siga nas redes sociais: FacebookTwitterInstagram e Linkedin. Participe de nossos grupos no Telegram e WhatsApp. Adquira sua certificação digital e-CPF e e-CNPJ na com a Juristas Certificação Digital, entre em contato conosco por email ou pelo WhatsApp (83) 9 93826000

DEIXE UMA RESPOSTA