LGPD: flexibilização das regras para microempresas e empresas de pequeno porte

Por Leandro Eulálio¹

Uma preocupação constante de empresários é a adequação das microempresas e empresas de pequeno porte à Lei Geral de Proteção de Dados, Lei n° 13.709, de 14 de agosto de 2018, mais conhecida como LGPD.
A LGPD, foi editada para proteger, principalmente, a privacidade das pessoas, através da regulamentação do uso de dados de pessoas físicas por empresas, órgãos públicos ou ainda por outra pessoa física.
O objetivo da Lei, através de seus princípios e regras, é proteger os direitos do cidadão à liberdade, privacidade e ao livre desenvolvimento da personalidade, além do desenvolvimento econômico, tecnológico e inovação, bem como a livre iniciativa, livre concorrência e defesa do consumidor, sendo a pessoa física o titular do direito protegido.
Segundo especialistas, o custo para adequação à LGPD pode variar de R$50 mil a R$ 800 mil1, o que seria inviável para microempresas e empresas de pequeno porte.
Com o objetivo de adequar à LGPD a realidade dessas empresas, foi publicada no Diário Oficial da União de 28 de janeiro de 2022 a Resolução CD/ANPD nº 002, que trata da aplicação da LGPD para essas empresas.
Essa resolução surgiu de uma parceria entre o Sebrae e outras entidades, e dispensa do cumprimento de algumas obrigações previstas na LGPD, facilitando assim o processo de adequação.
Essa flexibilização já era prevista no art. 55-J, inciso XVIII, da LGPD. O texto diz que compete a Autoridade Nacional de Proteção de Dados (ANPD) editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.
Neste sentido então a resolução n° 002 da ANPD traz essas normas e procedimentos simplificados, apresentaremos nas próximas linhas deste texto os principais pontos da resolução.
Inicialmente, destacamos que a resolução denomina as microempresas e empresas de pequeno porte, no âmbito da LGPD como agentes de tratamento de pequeno porte.
Serão considerados agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador. Incluindo neste rol o empresário individual e o microempreendedor individual.
Desde já ressaltamos que a dispensa ou flexibilização das obrigações dispostas na resolução não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

→ Principais flexibilizações:

Conforme previsto no art. 9º da LGPD o titular dos dados tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva pelo agente de tratamento, neste sentido, a resolução diz que os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, por meio eletrônico, impresso ou através de qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
Outra exigência prevista na LGPD e que a resolução flexibiliza para os agentes de tratamento de pequeno porte está previsto no art. 37, o qual prevê, que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. Complementando o Art. 38 prevê que a ANPD poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Neste sentido a resolução em seu art. 9º diz que os agentes de tratamento de pequeno porte podem cumprir essa obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, de forma simplificada, competindo a ANPD, fornecer modelo para o registro simplificado.
Em relação a ocorrência de incidentes de segurança, a resolução diz que a ANPD irá dispor sobre flexibilização ou procedimento simplificado de comunicação dos incidentes de segurança para os agentes de tratamento de pequeno porte.
Uma das grandes flexibilizações trazidas pela resolução diz respeito ao DPO (Data Protection Officer), profissional encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes. A exigência deste profissional está prevista no art. 41 da LGPD que diz que cabe ao controlador indicar um encarregado pelo tratamento de dados pessoais, devendo ainda sua identidade e as informações de contato serem divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Este artigo foi tema de muito debate, em especial, para as pequenas e microempresas que para cumprir o previsto no art. 41 teriam de contratar um profissional ou empresa para ser seu DPO.
Flexibilizando e simplificando esta exigência a resolução da ANPD diz em seu art. 11. que os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido, devendo, entretanto, disponibilizar um canal de comunicação com o titular de dados. A indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança.
Para fazer cumprir as exigências de boas práticas previstas na LGPD, os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
Diz a resolução que o atendimento às recomendações e às boas práticas de prevenção e segurança divulga das pela ANPD, inclusive por meio de guias orientativos, será considerado como observância ao disposto no art. 52, §1°, VIII da LGPD.
Para tanto os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Por fim os agentes de tratamento de pequeno porte terão tratamento diferenciado em relação ao cumprimento de prazos, os quais serão concedidos em dobro do previsto na LGPD no que tange ao atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação. O prazo será ainda flexibilizado quando for solicitada a declaração, prevista no art. 19, II da LGPD, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial
A resolução faculta ainda aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Finalizamos informando que não serão contemplados pela flexibilização proposta na resolução da ANPD os agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares, os agentes que auferirem receita bruta superior ao limite estabelecido no pela Lei Complementar n° 123, de 2006 ou, no caso de startups, da Lei Complementar n° 182, de 2021 e ainda o que pertença a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites previstos na legislação.
Em suma, com as flexibilizações propostas pela resolução as microempresas e empresas de pequeno porte poderão melhor se adequar ao cumprimento da LGPD. Se sua empresa ainda não está adequada a essa nova realidade, aproveite essas flexibilizações e faça as adequações necessárias, pois como sabemos as sanções e multas previstas na LGPD são pesadíssimas.

¹ – Leandro Eulálio é Contador e Administrador, especialista em Administração de Recursos Humanos, professor, palestrante e empresário do setor contábil.
leandro.eulalio@atolsolucoes.com.br
Siga nas redes: @contadorleandroeulalio