A Lei Geral de Proteção de Dados Pessoais (LGPD) é o assunto mais comentado ultimamente em termos legislativos no Brasil. A saga da vigência da LGPD foi assunto de debates em diversos segmentos da sociedade, não apenas no âmbito jurídico, tamanho o seu impacto nas atividades desempenhadas por todos os setores sociais.
Apesar de pouco provável, o fato é que a vigência para setembro de 2020 se concretizou e a LGPD está valendo em quase sua integralidade[1] e todas as organizações (incluindo pessoas físicas a depender do caso) devem se adequar às novas regras.
Neste cenário, a incidência da LGPD nas atividades das micro e pequenas empresas (MPEs) ganha muita relevância, já que as MPEs representam a quase totalidade das empresas em nosso país.
Quem são as Micro e Pequenas Empresas?
As micro e pequenas empresas (MPEs) representam um segmento muito importante da economia nacional, merecendo, inclusive, destaque específico na Constituição Federal (CF/88)[2]sobre o tratamento diferenciado que a elas se deve dispensar.
Referido tratamento diferenciado foi materializado na Lei Complementar 123 (LC123)[3], a qual “Institui o Estatuto Nacional da Microempresa e da Empresa de PequenoPorte”, caracterizando-as, respectivamente, como aquelas que detém receita bruta de até R$ 360.000,00 (trezentos e sessenta mil reais) e R$ 4.800.000,00 (quatro milhões e oitocentos mil reais).
A força das MPEs pode ser aferida em seus números, pois, segundo aponta o Sebrae (Serviço Brasileiro de Apoio às Micro e PequenasEmpresas), colaboram com 25% do Produto Interno Bruto (PIB) nacional, representando 99,1% do total de empresas no país e respondendo ainda por 52,2% dos empregos gerados no Brasil[4] -dados anteriores à crise do Covid-19.
E essa tal LGPD, quem é?
A Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais, ou apenas LGPD, “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”[5].
Com reconhecida inspiração no Regulamento Geral deProteção de Dados (GDPR ou RGPD) vigente na União Europeia, a LGPD posiciona o Brasil, apesar de tardiamente, ao lado de vários países[6]que, com maior ou menor rigor, preocupam-se em regular o modo pelo qual os dados das pessoas físicas é tratado.
A LGPD, portanto, inaugura em nosso país não apenas um novo padrão legislativo, mas também um novo padrão cultural, alinhado aos valores atuais da sociedade mundial, cada vez mais preocupada em combater a invasão de privacidade e a manipulação indiscriminada de dados pessoais.
Ok, mas o que eu, como MPE, preciso fazer?
Estabelecido, ainda que resumidamente, quem são as MPEs e a LGPD, necessário que o(a) micro e pequeno(a) empresário(a) tenha consciência da importância dos dados no contexto econômico mundial.
A afirmativa “os dados são o novo petróleo” já é um clichê em termos de privacidade e proteção de dados.
Assim, ser consciente de que a LGPD precisa ser cumprida não apenas por ser uma lei, mas por constituir uma nova realidade mundial no uso de dados pessoais, bem como que essa postura “amigável” impactará positivamente na relação da empresa com todos os seus clientes ,funcionários e parceiros de negócios, é passo fundamental na resposta sobre oque fazer.
Entenda que a época do “quanto mais dados, melhor”– ainda que alguns deles nunca serão utilizados –, acabou! A partir de agora, vige “o mínimo de dados para o máximo de privacidade”!
Essa nova concepção implica uma série de atitudes e aqui descreveremos algumas delas, sem pretensão de pensamento mandatório, mesmo porque a análise de adequação variará em cada organização.
– Não espere pela Autoridade Nacional de Proteção de Dados (ANPD)
Lembra quando a Constituição diz que às MPEs será estabelecido tratamento jurídico diferenciado?
Pois bem, a LGPD não escapou da regra. É expresso o texto da lei no sentido de ‘edição de normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos’[7]para que as MPEs se adequem à LGPD.
A competência para edição desse processo simplificado e diferenciado é da ANPD, órgão criado para, dentre outros, elaborar diretrizes, fiscalizar e aplicar penalidades, receber e apreciar requerimentos e dar amplo conhecimento sobre a lei. É da ANPD, no âmbito administrativo, a palavra final sobre a interpretação da LGPD.
A LGPD possui muitos pontos que precisam de esclarecimentos por parte da ANPD. Entretanto, não temos até o momento notícias sobre a sua efetiva constituição, carecendo ainda da nomeação dos 05 (cinco) ocupantes das cadeiras de seu Conselho Diretor.
Portanto, não se confie na obrigação da ANPD quanto aos procedimentos simplificados e diferenciados, pois eles podem demorar muito e prejudicar sua MPE.
– Capacite, capacite, capacite… e capacite novamente
Capacitar é preciso! Sim, não se omita e capacite as pessoas de sua organização.
Costumo aplicar um questionário simples sobre a LGPD nas empresas que visito. São 07 (sete) perguntas de temas básicos, mas o grau de desconhecimento sobre a legislação é bastante elevado. É bem comum a escolha de respostas como “a LGPD visa proteger dados advindos exclusivamente da internet”, “só posso tratar dados pessoais com o consentimento do titular de dados” ou o titular de dados é “qualquer pessoa física ou jurídica”.
Isso mostra que ainda precisamos avançar muito no quesito conhecimento da LGPD. Compreender a importância sobre a privacidade e proteção de dados é uma medida muito importante, afinal as pessoas da sua MPE lidarão com dados pessoais (provavelmente) diariamente.
Da mesma forma, muitas vezes elas serão as receptoras das comunicações dos titulares de dados, na forma presencial ou digital, e precisarão saber como se comportar.
Tenha certeza que nenhum cliente ficará satisfeito ao lidar com pessoas que ignoram seus direitos. Inclusive, deixe um exemplar da LGPD à disposição dos clientes, tal qual já se faz há tempos em relação aoCódigo de Defesa do Consumidor.
Capacitar as pessoas da MPE sobre os temas principais da LGPD é um investimento de baixo custo, mas que representará um ganho enorme.
– Registre o ciclo de vida dos dados pessoais
“Ciclo de vida dos dados pessoais”, exatamente. Significa registrar toda a trajetória (tratamento) dos dados pessoais na organização, desde o momento em que ‘adentra’ na empresa até o seu ‘descarte’.
O ciclo de vida dos dados pessoais, resumidamente, é representado por coleta, uso, compartilhamento, arquivamento e descarte.
O tratamento de dados pessoais, por sua vez, constitui-se em qualquer ato praticado com o dado pessoal.
Já dado pessoal, no contexto da LGPD, é qualquer informação que possa identificar ou tornar identificável uma pessoa física. Diante desse conceito, a análise do que venha a ser considerado dado pessoal necessita avaliação particular de cada específica situação.
De maneira bem direta, uma tatuagem ou um carro com adesivagem única identificam uma pessoa e, portanto, são dados pessoais. Qualquer informação que se possa ligar a uma pessoa é dado pessoal.
Tomemos como exemplo a recepção de uma MPE. Supondo que a recepção registre dados dos clientes para atendimento pelos demais setores, estamos diante de um ato de tratamento de dados. Da mesma forma, se a recepção recebe documentos de clientes, este é um novo ato de tratamento de dados. Ligações efetuadas para informar o status da produção de determinado produto ou atendimento de serviço é mais um ato de tratamento de dados. E assim por diante…
Agora imagine o restante dos setores da sua MPE?
Administrativo, financeiro, recursos humanos, serviço/produção, atendimento ao cliente, sucesso do cliente, jurídico, marketing, contabilidade, desenvolvimento de serviços/produtos, vigilância(sistema de câmeras), etc., independentemente dos setores serem internos ou externos (caso bastante comum deste último em relação a contabilidade, jurídico e marketing, por exemplo).
Cada uma dessas áreas realiza um número enorme de tratamento de dados pessoais e todos eles precisam ser mapeados. No caso das atividades realizadas por prestadores de serviços externos, não se iluda, as atividades se realizam em nome da sua MPE e, assim, são sua responsabilidade.
Portanto, não sonegue sua responsabilidade e registre tudo o que se faz com dados pessoais em sua MPE. Até mesmo porque oque não se mede, não se gerencia.
– Faça a análise crítica
Ao finalizar o registro do ciclo de vida dos dados pessoais, faça a análise crítica.
Referida análise servirá para compatibilizar os atos de tratamento de dados com os princípios, bases legais e medidas de segurança necessários para adequação à LGPD.
Na análise crítica, por exemplo, será avaliado se o ato de tratamento identificado possui uma finalidade clara, específica, explícita, além de direcionada a propósitos legítimos, assim como será avaliados e todos os dados pessoais tratados são realmente necessários ou excessivos para o atingimento da finalidade informada.
Além do cumprimento de todos os princípios, necessário avaliar se existe uma base legal capaz de justificar o tratamento dos dados e isso também dependerá do tipo do dado tratado, se “comum” ou “sensível”. É que para dados comuns são 10 (dez) as bases legais disponíveis, enquanto para dados sensíveis, apenas 08 (oito).
A análise crítica apontará diversos pontos de melhoria, tais como as medidas de segurança, e também tarefas a executar, tais como o relatório de impacto à proteção de dados, a política e o aviso de privacidade, revisão de cláusulas contratuais, entre outros. Todos esses itens constituirão um plano de ação a ser posto em prática pela MPE.
E, certamente, ao final, muitos novos pontos surgirão ao se refazer a análise, pois quanto mais conhecimento se tem, melhor se analisa e compreende o contexto em que se está inserido. Esse ciclo será infinito. Um PDCA (plan, do, check, act) eterno.
– Encarregado de proteção de dados
A LGPD obriga as organizações, incluindo as MPEs, a designarem uma pessoa (física ou jurídica) ao exercício da função de encarregado de proteção de dados (mais conhecido como DPO).
É certo que a LGPD traz uma atribuição para a ANPD de estabelecimento de “hipóteses de dispensa da necessidade de sua indicação”[8], mas, como já escrito, não espere pela ANPD.
O DPO é uma espécie de “ouvidor” em relação aos titulares de dados, pois tem por função analisar os requerimentos destes e prestar-lhes os devidos esclarecimentos. Além disso, também é uma espécie de “auditor interno” em relação a própria MPE, vez que zelará pela aplicação daLGPD e pela adoção de boas práticas em relação a privacidade e proteção de dados pela empresa.
O encarregado de proteção de dados, seja ele externo ou interno, deve ter autonomia para exercer sua função e orientar a MPE.
Também se deve ter cuidado para que o encarregado não cumule funções que resultem em conflito de interesses[9],algo bastante difícil para MPEs com quadro de funcionários mais reduzidos.
Ah, mas isso só se aplica para empresa grande e para o caso de vazamento de dados
Sou uma MPE, uma empresa pequenininha e só tenho dados ‘básicos’ de cadastro de clientes.
Realmente é comum pensar dessa forma, ou seja,“isso só vale para casos de vazamentos de dados”. Outro modo bastante comum de se pensar é “ah, mas os dados de CPF, nome, endereço e telefone já estavam disponíveis na internet minha MPE não pode ser penalizada por isso!”.
Engano seu.
Para esses pensamentos, visite o “GDPR Enforcement Tracker”[10], site em que estão registradas as penalidades aplicadas pelas Autoridades de Proteção de Dados europeias.
Uma simples busca pelo termo “base legal insuficiente para tratamento de dados”[11] apontará 156 (cento e cinquenta e seis) ocorrências de infrações. Do mesmo modo, uma busca por “não-conformidade com princípios gerais para processamento de dados”[12] apontará outras 66 (sessenta e seis) ocorrências de infrações.
Esses simples exemplos mostram que a legislação não se resume a evitar vazamento de dados.
Em verdade, como já escrito, estamos diante de um novo modelo de pensamento sobre o tratamento de dados de pessoas físicas. Quem não entender esse ponto, certamente ficará para trás no aspecto concorrencial.
A transparência será ponto chave no relacionamento da MPE com seus clientes. Ser transparente impactará diretamente na confiança dos seus consumidores e na boa reputação de sua MPE.
Particularmente, não tenho dúvidas de que as pessoas, muito em breve, preferirão pagar um pouco mais caro por alguns serviços/produtos que ofertam maior segurança em tratamento de dados, em detrimento do produto mais barato, porém não confiável.
Uma longa jornada
Começaremos uma longa jornada com a chegada da LGPD.
A legislação exige muita atenção de todas as organizações, são muitos pontos novos a serem observados e muitas outras adequações certamente virão.
Após a efetiva constituição da ANPD, normas complementares, pareceres e resoluções serão editadas. Setores poderão se reunir para propor a adoção de melhores práticas e, enquanto isso não ocorrer, muitas decisões judiciais e administrativas serão prolatadas.
Além disso, diante da dinamicidade das atividades empresariais, a tendência é que novos produtos e serviços, somados a novas tecnologias, tragam novos desafios de adequação às normas de privacidade e proteção de dados.
E, mesmo que nada disso ocorra, a simples manutenção da atividade empresarial, naturalmente, trará mais dados pessoais para dentro da MPE, obrigando-a a aprimorar seus procedimentos, registros e processos de adequação.
[1]Apenas as sanções previstas na LGPD estão com vigência prorrogada, para agosto de 2021, conforme Lei 14.010/2020;
[2] CONSTITUIÇÃO FEDERAL DO BRASIL, artigos 170, X e 179: Art. 170. A ordem econômica, fundada na valorização do trabalho humano e na livre iniciativa, tem por fim assegurar a todos existência digna, conforme os ditames da justiça social, observados os seguintes princípios: X – tratamento favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras e que tenham sua sede e administração no País. Art. 179. A União, osEstados, o Distrito Federal e os Municípios dispensarão às microempresas e às empresas de pequeno porte, assim definidas em lei, tratamento jurídico diferenciado, visando a incentivá-las pela simplificação de suas obrigações administrativas, tributárias, previdenciárias e creditícias, ou pela eliminação ou redução destas por meio de lei.
Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/ConstituicaoCompilado.html. Acesso em 21/09/2020;
[3]LEI COMPLEMENTAR 123/2006, artigo 3º, inciso I e II.Disponível em http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm.Acesso em 21/09/2020;
[4] “Pequenas empresas garantem saldo positivo de empregos, mostra Sebrae”. Disponível em https://agenciabrasil.ebc.com.br/educacao/noticia/2019-07/pequenas-empresas-garantem-saldo-positivo-de-empregos-mostra-sebrae. Publicado em 01/07/2019. Acesso em 20/09/2020;
[5]Lei 13.709/2018, artigo 1º. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.html.Acesso em 21/09/2020;
[6]Para conferir os países que possuem leis de proteção de dados e o nível de rigor da legislação, em comparação ao GDPR, acesse o mapa elaborado pelaAutoridade de Proteção de Dados da França: https://www.cnil.fr/en/data-protection-around-the-world.Acesso em 20/09/2020;
[7]Lei 13.709/2018, artigo 55-J, XVIII;
[8] Lei13.709/2018, artigo 41, § 3º;
[9] A título de exemplo, o parecer da Ordem dos Advogados de Portugal que concluiu que “os advogados estão impedidos de exercer a advocacia e, assim, impedidos de exercer o mandato forense ou a consulta jurídica, para entidades para quem exerçam, ou tenham exercido as funções de Encarregado de Proteção deDados”. Disponível em https://portal.oa.pt/media/125991/parecer-14-pp-2018-declaracao-de-voto-expurgado-002.pdf.Acesso em 21/09/2020;
[10]https://www.enforcementtracker.com/;
[11]No original: Insufficient legal basis for data processing;
[12]No original: Non-compliance with general data processing principles