Visando contribuir com a Autoridade Nacional de Proteção de Dados na Tomada de Subsídios nº 1/2021, para regulamentação da Lei Geral de Proteção de Dados em relação à microempresas e empresas de pequeno porte, iniciativas empresariais de caráter incremental ou disruptivo, startups ou empresa de inovação e pessoas físicas que tratam dados pessoais com fins econômicos, em fevereiro de 2021 participamos do trabalho de pesquisa organizado pela Comissão e Inovação e Gestão da OAB/PR, apresentando contribuições que foram levadas pela Presidência à Autoridade Nacional de Proteção de Dados (1).
Dentre as perguntas que a ANPD buscava resposta estavam algumas relacionadas à experiência internacional aplicável a estes agentes de tratamento, tal como descritos no art. 55-J, XVIII, e sobre como a União Europeia tem atuado para que eles estejam em conformidade com o General Data Protection Regulation (GDPR).
Nos apontamentos que efetuamos na oportunidade iniciamos pela reflexão de que o GDPR apesar de ter entrado em vigor somente a partir de 2016, com aplicação a partir de 2018, traduz matéria regulamentada há longa data dentro da União Europeia. Em regra, o Parlamento e o Conselho Europeu fazem uso de Diretivas para exigir que os Estados-membros alcancem determinados resultados, deixando às instâncias nacionais a competência quanto à forma e aos meios. Para que a Diretiva produza efeitos a nível nacional, os Estados-membros devem editar uma Lei para sua transposição. A transposição nacional é obrigatória e caso um país não a realize a Comissão poderá iniciar um processo por infração junto ao Tribunal de Justiça da União Europeia.
E foi assim que o tema da proteção de dados foi tratado na comunidade Europeia desde 1995. A Diretiva 1995/46 foi a primeira a tratar sobre o direito à proteção de dados na União Europeia. Com 72 “considerandos” e 34 artigos determinava que os Estados-membros editassem leis nacionais sobre a proteção de dados para assegurar a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.
A Diretiva vigorou por mais de 20 anos quando, então, em 2016, foi revogada pelo GDPR, muito em razão das mudanças tecnológicas ocorridas uma vez que foi editada em um momento ainda incipiente da internet. Nos termos do Considerando 9º do GDPR, os princípios da Diretiva continuam valendo, mas o GPPR traz novos conceitos e adapta a legislação às novas tecnologias, bem como harmoniza a legislação sobre proteção de dados nos Estados-membros.
O GDPR, assim como a LGPD, não traz em seu texto o conceito de microempresa e empresa de pequeno porte, mas a Comunidade Europeia define em outros normativos parâmetros para classificação das empresas como microempresas, empresas de pequeno porte e médias empresas . E da mesma forma que a LGPD, o GDPR não isenta essas empresas de cumprir com as suas obrigações, mas permite que as suas características peculiares sejam observadas no momento da aplicação das regras sobre privacidade e proteção de dados.
Como regra as ME e EPP são obrigadas a garantir aos seus titulares de dados os direitos básicos listados no GDPR; isso implica que as ME e EPP devem garantir que existam sistemas e processos implementados para que esses direitos sejam cumpridos dentro do prazo legal estabelecido. Uma vez mapeados os dados tratados, até mesmo as ME e EPP são obrigadas pelo GDPR a avaliar quais tipos de processamento de dados podem resultar em um alto risco para os indivíduos.
Porém, é incentivado que as instituições, os órgãos da União, os Estados-Membros e as suas autoridades de controle levem em consideração as necessidades específicas das ME e EPP no âmbito de aplicação do GDPR. Em alguns casos é permitida a flexibilização de medidas específicas, conforme as necessidades das ME e EPP, dentre elas:
a) Códigos de Conduta: No considerando 98 e no art. 40, o GPDR determina que os Estados-membros, as autoridades de controle, o Comitê, a Comissão, as associações ou entidades representantes de categorias de controladores e operadores deverão elaborar Códigos de Conduta com o objetivo de facilitar a sua aplicação efetiva. Esses códigos devem levar em conta as características do tratamento por setor e as necessidades específicas das micro, pequenas e médias empresas.
b) Execução de competências da Comissão: Os Estados-membros devem tomar medidas de direito interno necessárias para que sejam executados os atos juridicamente vinculativos da União Europeia. A Comissão detém a competência para estabelecer condições uniformes de execução desses atos. O Considerando 167 do GDPR prevê que para assegurar condições uniformes para sua execução a Comissão deverá ponderar medidas específicas para as micro, pequenas e médias empresas.
c) Emissão de Certificações: O art. 42, do GPDR determina que serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas nos procedimentos de certificação em matéria de proteção de dados, para efeitos de comprovação da conformidade das operações ao Regulamento.
d) Registro de atividades: No Considerando 13 e no art. 30, 5º, do GDPR, é prevista uma derrogação para as organizações com menos de 250 funcionários relativamente à conservação do registro de atividades de tratamento de dados. Ou seja, empresas com menos de 250 funcionários não têm que manter registros de suas atividades de processamento de dados pessoais, a menos que o processamento seja uma ocorrência/atividade regular que represente ameaça potencial aos direitos e liberdades dos indivíduos ou inclua dados confidenciais ou registros criminais. Importante salientar que essa é a única hipótese do GDPR que fornece isenção com base em critério quantitativo.
e) Nomeação de encarregado: Em relação à nomeação do encarregado de proteção de dados, também chamado de DPO, as ME e EPP seguem a mesma regra das demais, prevista no art. 37, I, do GDPR.
No caso das ME e EPP sempre haverá a obrigatoriedade de nomear um DPO ou encarregado quando o tratamento e dados exigirem um controle regular e sistemático que possa representar ameaça aos direitos e liberdades do indivíduo e quando o processamento for seu principal negócio, realizado em grande escala.
Há inclusive recomendação específica para nomeação de encarregado sempre que (i) se processe dados pessoais para direcionar publicidade, por meio de motores de busca com base no comportamento online de indivíduos e quando (ii) se processe dados relacionados à genética e saúde para hospitais.
f) Aplicação de multas: Em relação às multas, o GDPR, no art. 83, 4º e 5º, prevê limites máximos de 20 milhões de euros ou 4% do volume de negócios global. Porém, os valores das multas poderão variar conforme a legislação nacional. Na Lei portuguesa (Lei n. 59/2019), por exemplo, existem valores mínimos previstos. Segundo o art. 52, em caso de infração grave a multa mínima é de 1000 euros e de infrações muito graves 2000 euros para as PME. A fixação do valor caberá à CNPD que tem em conta, entre outros critérios, o volume de negócios, o balanço anual e a dimensão (nº de trabalhadores e natureza dos serviços prestados) da empresa, assim como o caráter continuado da infração.
Consulta Pública da minuta de Resolução.
Agora em 30 de agosto de 2021 a Autoridade Nacional de Proteção de Dados – ANPD publicou Consulta Pública sobre a minuta de Resolução que regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, nos termos do art. 55-J, inciso XVIII da lei, editada com base nos subsídios colhidos na Tomada de Subsídios nº 1/2021. O tema estará aberto a debates pelos próximos 30 dias.
A minuta de Resolução proposta reconhece que a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento destes agentes e, consequentemente, do desenvolvimento do país, e portanto, propõe equilibrar a flexibilização da adaptação deste grupo à LGPD de acordo com o porte do agente de tratamento ao mesmo tempo que garante os direitos dos titulares.
Dentre os principais pontos de destaque da minuta de Resolução estão:
• Define como “agentes de tratamento de pequeno porte” as microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, além de trazer outras definições interessantes em seu art. 2º.
• Determina que a dispensa e a flexibilização das obrigações previstas na resolução não são aplicáveis aos “agentes de tratamento de pequeno porte” que realizem tratamento de alto risco e em larga escala para os titulares.
• Considera como tratamento de alto risco aquele que utiliza dados sensíveis ou de vulneráveis (crianças e adolescentes), de vigilância ou controle, de uso de tecnologia emergente que possam ocasionar danos materiais ou morais aos titulares e àqueles para fins de definição de perfil (pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade).
• A organização que for caracterizada como “agente de tratamento de pequeno porte” estará dispensada de manter o registro das atividades de tratamento de dados pessoais.
• A organização que for caracterizada como “agente de tratamento de pequeno porte” estará dispensada da indicação de Encarregado, devendo sempre disponibilizar um canal de comunicação com o titular de dados.
• Se a organização for caracterizada como “agente de tratamento de pequeno porte” poderá apresentar o Relatório de Impacto à proteção de dados pessoais de forma simplificada quando for exigido.
• Os “agentes de tratamento de pequeno porte” terão prazo em dobro no atendimento das solicitações dos titulares, comunicação de incidentes e em outros prazos que futuramente vierem a ser estabelecidos pela ANPD.
Percebe-se que houve a preocupação em conceituar os “agentes de tratamento de pequeno porte” e a criação de regras de flexibilização da aplicação da LGPD que além de adotar o critério de porte do agente considera o risco que o tratamento de dados possa causar ao titular, com o objetivo de facilitar a adequação destes agentes sem, contudo, deixar de levar em consideração o risco que o tratamento realizado pode causar aos titulares de dados pessoais.
Como se pode perceber o porte do agente de tratamento não tem o condão de modificar o direito do titular à proteção de seus dados pessoais, nem de desobrigar os agentes a observância da boa-fé e dos princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, todos expressamente previstos na LGPD.
Conclusão.
Na Europa, estima-se que 23 milhões de pequenos negócios tenham sido impactados com o GDPR. Entre as maiores dificuldades para adequação estão questões ligadas a tecnologia como segurança da informação e armazenamento . Um estudo realizado pelo GDPR.EU em 2019 , um ano após o GPDR passar a valer, estimou que a maioria (86%) dos pequenos negócios haviam investido no compliance de proteção de dados. Dentre as razões para o investimento estavam as seguintes: (i) porque é a Lei; (ii) não queriam ser multados; (iii) é bom para os negócios; (iv) acreditam no direito à privacidade. A pesquisa também concluiu que entre os principais investimentos estão a contratação de treinamentos e consultorias, seguido por softwares e equipamentos.
Aqui no Brasil, conforme dados disponibilizados pelo Sebrae existem aproximadamente 19.228.025 empresas, das quais 85,27% são MEI ou ME. Segundo levantamento da Abstarups existem mais de 12.700 empresas classificadas como startups. Se as dificuldades que vem sendo enfrentadas na Europa são enormes, as que enfrentaremos por aqui não tendem a ser menores.
Portanto, a toda evidência, a flexibilização das regras para facilitar a implementação da LGPD pelos “agentes de tratamento de pequeno porte” é medida fundamental para o sucesso da Lei Geral de Proteção de Dados no Brasil. Mas não só isso. A mudança de paradigma somente ocorrerá pela capacitação dos indivíduos e da sociedade em relação à lei da empatia.
Muitas lacunas sobre questões específicas relacionadas à aplicação da lei ainda permanecem e críticas quanto a isto no meio jurídico tem sido implacáveis.
Porém de forma granular, a ANPD tem aplicado esforços para cumprir com as suas obrigações de zelar e implementar a Lei Geral de Proteção de Dados no país. Não podemos esquecer que a Europa vem lidando com o tema de forma estruturada há pelo menos 25 anos e nós estamos apenas iniciando a mudança cultural sobre a importância da proteção dos dados pessoais.
***
Autoras:
Rafaela Vialle Strobel Dantas – Advogada com atuação nacional em direito empresarial com foco em inovação, tecnologia, liderança e nos impactos da economia digital no âmbito jurídico. MBA em Direito da Economia e da Empresa pela FGV/RJ. Especialista em Direito Público pela ESMAFE-PR. Pós-graduação em Direito Administrativo pela UNICURITIBA. Formação em liderança integral pelo Programa ILP, da FAE Business School e NOVA de Lisboa. Membro da Comissão de Inovação e Gestão da OAB/PR. rafaela@strobeldantas.adv.br
Dafini Boldrini – Advogada, com atuação focada em proteção de dados e terceiro setor. Pós-graduada em Compliance e Governança Jurídica pela Fae Business School. Especialista em LGPD pela NextLaw Academy. Membro do Instituto Nacional de Proteção de Dados e do Compliance Women Comittee. Pesquisadora do Grupo de Discussão Permanente da Comissão de Inovação e Gestão da OAB/PR, com o tema Direitos dos Titulares. dafiniboldrini@gmail.com