LGPD para microempresas e empresas de pequeno porte – o que diz a Autoridade Nacional de Proteção de Dados (ANPD)

LGPD para microempresas e empresas de pequeno porte – o que diz a Autoridade Nacional de Proteção de Dados (ANPD)

Seguindo a agenda regulatória disponibilizada, anteriormente, pela Autoridade Nacional de Proteção de Dados para o biênio de 2021-2022, no dia 29/01/2021, fora publicada por aquela a Nota Técnica de nº 1/2021/CGN/ANPD, oportunidade na qual fora iniciada a “Tomada de subsídios para a regulamentação da aplicação da LGPD para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos”.

Nesse sentido, em atenção à Nota Técnica mencionada acima, torna-se evidente a importância de regulamentação para esse setor, visto que a LGPD expõe tratamento específico para as microempresas, empresas de pequeno porte e startups, conforme artigo 55-J, inciso XVIII.

Em suma, o objetivo da tomada de subsídios é coletar informações para a definição de conceitos específicos, como, por exemplo, a caracterização de microempresas e empresas de pequeno porte, tornando-se evidente a preocupação da Nota Técnica com a inovação e o desenvolvimento econômico.

Ademais, a ANPD também demonstrou, por intermédio do referido documento, a sua preocupação em identificar instrumentos regulatórios que sejam capazes de proteger o titular dos dados e incentivar a inovação. Afinal, fora aberta oportunidade de envio de contribuições pela sociedade brasileira, no prazo de 30 (trinta) dias a contar da publicação do aviso em seu sítio eletrônico.

No que concerne à conformidade dos agentes de pequeno porte às regras de tratamento de dados dispostas na LGPD, os estudos para a nova regulamentação avaliarão os riscos que a flexibilização ou o afastamento dessas regras podem causar aos direitos fundamentais de privacidade dos titulares dos dados pessoais, bem como o potencial impacto da manutenção das obrigações aos agentes de pequeno porte.

É sabido o alto investimento técnico e financeiro para que as empresas consigam realizar a adequação interna à nova Lei de Proteção de Dados. Atualmente, o custo de contratação do encarregado pela LGPD nas empresas, considerando o salário médio divulgado recentemente pela mídia e os encargos trabalhistas, supera os R$ 360.000,00 (trezentos e sessenta mil reais), montante equivalente ao teto de faturamento anual de uma microempresa no Brasil.

Notória, portanto, a importância dessa regulamentação, pois o critério vigente utilizado é apenas a classificação referente à receita bruta da empresa, conforme seguinte forma prevista pela Lei Complementar nº 123/2006: Microempresa – receita bruta anual igual ou inferior a R$ 360.000,00; Empresa de Pequeno Porte – receita bruta anual superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00, o que pode, claramente, trazer uma inviolabilidade de adequação para esse tipo de seguimento caso seja avaliado somente esse critério.

Na União Europeia, a solução adotada pela Regulamentação Geral sobre a Proteção de Dados tenta levar em conta não o tamanho da empresa, mas o tipo de atividade. Como exemplo, só é necessário ter um “data protection officer”, equivalente ao encarregado de dados, no caso de órgãos públicos, de empresas cuja atividade principal seja o processamento de dados em grande escala ou caso os dados tratados pela empresa sejam sensíveis a ponto de necessitar de um controle específico (Artigo 37).

Outra dispensa do regulamento europeu é a obrigação de manter o registro de atividades de tratamento para empresas com menos de 250 (duzentos e cinquenta) empregados.

Já a solução da lei de proteção de dados da Califórnia (California Consumer Privacy Act) é a não aplicação de suas regras para empresas (a) com faturamento anual menor de US$ 25.000.000,00 (vinte e cinco milhões de dólares), (b) empresas que tratem de informações de mais de 100.000 (cem mil) consumidores ou (c) que tenham mais de 50% (cinquenta por cento) de seu faturamento decorrente da venda.

Na Austrália, a Lei de Privacidade não se aplica à maioria das pequenas empresas, com faturamento anual de até US$ 3.000.000,00 (três milhões). Dessa forma, a legislação incide apenas em negócios específicos como, por exemplo, operadores de bancos de dados de locação residencial.

Observa-se que os exemplos considerados na Nota Técnica da ANPD de empresas de pequeno porte e iniciativas empresariais disruptivas estão com um foco em parâmetros diferentes, que não são necessariamente os mais apropriados.

O critério brasileiro de empresa de pequeno não traduz adequadamente a preocupação com a proteção de dados. Um restaurante ou uma loja de varejo de sucesso são exemplos de negócios que podem ultrapassar esse faturamento sem realizar um tratamento de dados significativo. Se formos utilizar um critério de faturamento anual para enquadrar empresas que precisam ou não ter um cuidado maior com a proteção de dados, não podemos seguir aqueles apontados na Lei Complementar nº 123/2006.

Considerar que todo negócio disruptivo, ou startup sejam necessariamente tratadores de dados relevantes também parece se aproximar mais de uma preconcepção estereotipada do que é uma startup do que um critério relevante.

O Legislador brasileiro agiu de forma célere para se harmonizar às leis de proteção de dados pessoais que surgiam no mundo, mas não definiu os detalhes sobre como e para quem isso se aplicaria na realidade brasileira, transferindo esse ônus para a Autoridade Nacional de Proteção de Dados (ANPD), que, conforme exposto, requereu a tomada de subsídios para a elaboração da primeira minuta de regulamentação, solicitando o auxílio dos envolvidos para o desenvolvimento da legislação.

Dessa forma, é essencial que haja uma regulamentação adequada, visto que no formato atual da LGPD o vendedor de cachorro quente da esquina está sujeito à obrigação de elaborar um relatório de impacto de proteção de dados. Precisamos ser mais criteriosos nas exigências de obrigações indicadas pela LGPD, o principal critério deve ser focado na atividade que está sendo realizada, o volume de dados e o tipo de dados que está sendo armazenado.

No Brasil, a ANPD e os estudiosos de proteção de dados precisam identificar as atividades e o volume de informações que sejam relevantes para a aplicação completa das obrigações da LGPD, simplificando as regras para negócios que não se enquadrem.

Isso não quer dizer que o faturamento não deve ser levado em consideração também. Os negócios menores que tratam dados sensíveis também precisam de regras (e orientações) específicas. O pequeno consultório médico possui dados sensíveis, mas não possui o mesmo poder financeiro para uma adequação que um hospital de porte, regras apropriadas devem ser adaptadas para cada caso.

Compreende-se, portanto, acima de tudo o que é necessário agora, antes que as penalidades da LGPD sejam aplicáveis, que é de clareza e definição sobre como pequenos negócios podem e devem se adequar. Indicar critérios adequados para tipos de negócios diferentes e a publicação de guias de boas práticas devem ser as próximas prioridades da ANPD, motivo pelo qual, ainda que seja mais trabalhoso, esse processo de especificação precisa ser feito para impedir mais um aumento de custos desnecessários que afetará empreendedores brasileiros.


Por: Diogo Araújo e Letícia Aragão

Nossos Endereços

Recife|PE

AV. Republica do Libano, 251 – 22º Andar – Sl 2203 e 2204.
Riomar Trade Center – Torre B
Pina – Recife – PE
CEP: 51.110.160
Fone/Fax: +55 81 3221-0699

São Paulo|SP

Rua Olimpíadas, nº 205, 4º Andar,
Empresarial Continental Square – Vila Olímpia
CEP: 04551-000
Fone/Fax: +55 11 3728-9223