É necessário que a ANPD tome uma decisão técnica, e não política, sobre a necessidade de adequação das pequenas e médias empresas à LGPD, mensurando as medidas protetivas e as consequências de acordo com o porte de cada empresa, mas sem deixar de lado a necessária conformidade com a Lei.
Thais Franco da Rocha
A Autoridade Nacional de Proteção de Dados – ANPD é o órgão responsável pela fiscalização do cumprimento da Lei Geral de Proteção de Dados – LGPD (Lei n° 13.709/18).
Conforme disposto na LGPD, todas as empresas que têm acesso a dados pessoais e/ou sensíveis devem se adequar à Lei Geral de Proteção de Dados, e quem vier a descumprir, estará suscetível a advertências, sanções de até 50 milhões de reais ou até 2% do faturamento do ano anterior à multa.
Passo seguinte, a ANPD está elaborando minuta de Resolução com a regulamentação específica de cumprimento da LGPD por parte das pequenas e médias empresas, startups e pequenos empreendedores.
Segundo explicou o diretor da ANPD Arthur Sabbat, ao participar, em 10/06/2021, do fórum sobre segurança cibernética, promovido pela Network Eventos, o texto vai atender ao tratamento excepcional previsto na Lei aos pequenos negócios e deveria entrar em consulta pública nas próximas semanas. Ele expôs:
“Muito em breve, acredito que em no máximo três semanas, vamos lançar a consulta da minuta sobre aplicação de Lei Geral de Proteção de Dados para pequenas e médias empresas, startups, pequenos empreendedores. É um tema sobre o qual recebemos muitas ideias e estamos estruturando”, disse Sabbat durante o painel LGPD e Gestão de Risco: Desafio para Governo e Empresas.
É certo que referida Resolução ainda não foi publicada, mas está sendo discutida e votada pelos membros da ANPD desde então.
Como indicou o diretor da ANPD, o objetivo é equilibrar a proteção de dados ao porte de cada empresa: “A Lei prevê que as pequenas empresas merecem tratamento diferenciado. Vamos contemplar isso. É uma questão de dosimetria. A ideia é colocar sobre os ombros das pequenas e médias empresas aquilo que seja exequível para elas, o que não comprometa a atividade fim. (…) Às vezes, até por receio da LGPD, de ser multado, de ser punido, empresas começam a tirar pessoas da atividade fim para carrear para a proteção de dados. E aí a conformidade fica mais forte que o setor de vendas, que o setor comercial. E não é essa a intenção. Não queremos atrapalhar o negócio de ninguém. Por isso a ideia é adequar para que pequenas e médias empresas atendam à LGPD em uma conformidade essencial, mínima, necessária.”.
Percebe-se que a ANPD também cogita a exclusão total das pequenas e médias empresas da necessidade de conformidade com a LGPD. Este posicionamento, infelizmente, defendido por muitos membros do Conselho Nacional de Proteção de Dados que, na prática, presta consultoria à ANPD, vai na contramão dos demais países que legislaram sobre proteção de dados, como pela General Data Protection Regulation – GDPR, regulamento do direito europeu sobre privacidade e proteção de dados pessoais, que serviu como base para a criação da LGPD.
De acordo com o Conselho Federal da Administração – CFA1, as micro e pequenas empresas têm um papel econômico fundamental no Brasil. Além de representarem a maioria de todos os negócios formais do país, são responsáveis por uma grande fatia do faturamento de todas as empresas brasileiras, contratando mais da metade da mão de obra formal! Segundo o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE), elas já são as principais geradoras de riqueza no país. As PME’s respondem por 53,4% do Produto Interno Bruto (PIB) do comércio e, na indústria e no setor de serviços, a participação delas também é relevante – 22,5% e 36,3%, respectivamente. Representam também 27% do PIB, 52% dos empregos com carteira assinada, 40% dos salários pagos, 8,9 milhões de microempresas. Ratificando a pesquisa divulgada pelo Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE), a participação das micro e pequenas empresas brasileiras somadas representam 27% de todo o Produto Interno Bruto (PIB) do Brasil. Ressalta-se que, se compararmos com números de décadas passadas, veremos que a participação das micro e pequenas empresas na economia brasileira cresce acentuadamente. Em 1985, representavam 21% do PIB. Já em 2001, 23,2%. Em termos de valores absolutos, de 2001 a 2011, o faturamento das micro e pequenas empresas saltou de R$ 144 bilhões para R$ 599 bilhões, em valores da época. Se considerarmos a participação no mercado de trabalho, verificamos que as micro e pequenas empresas têm uma importância ainda maior na economia brasileira, posto que os salários pagos por elas respondem por 40% da massa salarial brasileira, como foi informado em pesquisa realizada pelo SEBRAE.
Considerando esse cenário nacional, a importância e o volume de informação que transita pelas PME’s e, considerando um consumidor final cada vez mais criterioso, a não adequação das pequenas e médias empresas à LGPD não implicará num marco de transformação das relações sociais que ela pretende ser, já que boa parcela dos que movimentam as relações de socioeconômicas e de trabalho não se sujeitarão a ela, trazendo inclusive impacto com contratos internacionais, uma vez que muitos países já estão em dia com o plano de proteção de dados. Na perspectiva da governança, uma organização que não tem critérios de conformidade com a lei pode vir a acabar com sua imagem e até mesmo falir.
Nesse sentido, o impacto da medida de exclusão das PME’s à lei será percebido não apenas pelos titulares de dados, mas também pelas grandes empresas, já que haverá uma quebra de proteção na cadeia em que circula a informação, e que acabará não protegendo a totalidade dos dados pessoais tratados no país.
Como dito, a penalidade com valores como os praticados na LGPD, que a princípio parecem exorbitantes e impraticáveis, já é uma realidade na Europa com a GDPR.
Segundo estabelece a lei, as consequências jurídicas da não adequação estão expostas no Capítulo VIII, da fiscalização, Seção I – Das sanções administrativas. Dentre elas, destaca-se que, além das peculiaridades do caso concreto, deverá ser considerado também a boa-fé do infrator, a reincidência, a vantagem auferida ou pretendida e a cooperação do infrator. Assim, há critérios objetivos a se considerar para a dosimetria de sanções, o que não afasta a necessidade de sua aplicação a nenhum ente ou empresa, possibilitando, mesmo a menor empresa, se adequar à lei sem inviabilizar a sua atividade-fim. Esse mesmo cenário ‘ameaçador’ veio à tona quando da implementação do código do consumidor, e hoje toda empresa que preze por sua credibilidade no mercado, se ajustou às relações de consumo.
A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas transmitem não só à Autoridade Nacional, mas também aos consumidores, o recado de que a empresa pretende proporcionar o máximo de segurança em seus produtos e/ou serviços.
Por sua vez, a inadequação destas empresas certamente sobrecarregará o Poder Judiciário com as demandas relativas ao tratamento de dados pessoais, movidas pelos próprios titulares de dados. E isso não será suficiente. Haverá necessidade de se oferecer respostas rápidas e eficazes aos titulares de dados pessoais, colocando em evidência no mercado as empresas que se preocupam em evitar os danos e/ou repará-los com agilidade.
É necessário, portanto, que a ANPD tome uma decisão técnica, e não política, sobre a necessidade de adequação das pequenas e médias empresas à LGPD, mensurando as medidas protetivas e as consequências de acordo com o porte de cada empresa, mas sem deixar de lado a necessária conformidade com a Lei.
Notas
1 O Conselho Federal de Administração é o órgão que no Brasil regulamenta os profissionais formados em Administração.
Referências
Pequenas e Médias Empresas e a adequação a Lei Geral de Proteção de Dados do Brasil, aliada as boas práticas baseadas na General Data Protection Regulation da União Europeia. Disponível em https://jus.com.br/artigos/86483/pequenas-e-medias-empresas-e-a-adequacao-a-lei-geral-de-protecao-de-dados-do-brasil-aliada-as-boas-praticas-baseadas-na-general-data-protection-regulation-da-uniao-europeia. Acesso em 14/09/2021
Intersoft Consulting. General Data Protection Regulation GDPR. Disponível em https://gdpr-info.eu/. Acesso em 14/09/2021
BRASIL. Lei complementar n° 123, de 14 de dezembro de 2006. Institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte. Disponível em http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm. Acesso em 14/09/2021
ANPPD – Associação Nacional de Profissionais de Proteção de Dados. Pareceres Técnicos. Disponível em https://anppd.org/pareceres-tecnicos. Acesso em 14/09/2021
Thais Franco da Rocha é advogada.
