Desde a publicação da Lei Geral de Proteção de Dados – LGPD o mercado aguarda uma solução para as pessoas jurídicas de tamanho reduzido pois as obrigações eram incompatíveis. A solução veio com a Resolução N. 2 da ANPD de 27 de janeiro de 2022, mas o que ela traz?
QUEM PODE APROVEITAR A SIMPLIFICAÇÃO:
Em primeiro lugar a sua aplicação engloba as microempresas e empresas de pequeno porte com faturamento anual de até 4.8 milhões anuais e startups até 16 milhões anuais. Estão inseridas sociedade empresária, sociedade simples, sociedade limitada unipessoal e o microempreendedor individual. Além disso pessoas jurídicas sem fins lucrativos como condomínios e associações por exemplo.
A linha de corte foi clássica, a autoridade utilizou os parâmetros já existentes em tantas legislações tributárias e regulatórias já existentes no Brasil, mas também abarcou a estrela do momento que é o novo marco legal das startups.
Sobre o conteúdo repousava a expectativa de todos, algumas medidas já esperadas e outras nem tanto.
Como veremos a seguir, as empresas de menor porte foram beneficiadas, mas não estão livres de atender às demandas da LGPD.
QUAIS SÃO OS BENEFÍCIOS:
A desobrigação de indicar o encarregado (DPO)
A desobrigação de indicar o encarregado (DPO) contida no artigo 11 era muito esperada e de fato bem-vinda. Porém os dois parágrafos contidos no mesmo artigo vêm minimizar o alívio dos pequenos empresários.
O primeiro parágrafo determina que se não for indicado o encarregado a empresa deverá disponibilizar um canal de comunicação com o titular de dados, ou seja, mesmo sem o nome de encarregado, alguém terá que fazer às vezes deste, afinal os titulares devem ser atendidos.
Já o segundo parágrafo estimula a nomeação de um encarregado ao dizer que, caso a empresa mesmo não obrigada resolva pela nomeação, isto será considerado política de boas práticas de governança. Em outras palavras, a empresa que optar pela nomeação fica “bem na foto” com a ANPD.
Colocando lado a lado os dois parágrafos, fica implícito que havendo possibilidade a empresa deve sim optar pela nomeação de um encarregado ainda que não seja obrigatória.
Claro que essa medida é de grande utilidade para negócios extremamente pequenos onde trabalham uma ou duas pessoas e não há sentido na nomeação de um encarregado.
Registro simplificado das operações de tratamento.
Tarefa de base em qualquer projeto de adequação à LGPD, o data mapping, é a foto do fluxo dos dados pessoais dentro da empresa, mas essa foto não se faz num click, ao contrário costuma ser uma das fases mais longas dentro dos projetos de adequação.
Ainda não sabemos como será o Registro Simplificado, mas aguardamos ansiosos pelo modelo que será fornecido pela própria autoridade nacional a ANPD.
Maiores Prazos.
Para facilitar a vida das empresas de menor porte, outro importante benefício trazido pela nova regra são os prazos elastecidos, confira:
Em dobro para comunicar incidentes de segurança e informações solicitadas pela ANPD.
Em dobro para fornecer declaração completa ao titular de dados, em caso de solicitação.
Prazo especial de 15 dias para fornecer declaração simplificada ao titular de dados (antes era imediata)
ANPD recomenda.
Estabelecer Política Simplificada de Segurança da Informação, a autoridade nacional deverá considerar a existência de PSI, em favor da empresa, para fins de fiscalização e atenuação de eventuais penalidades.
Benefícios não se aplicam tratamentos de alto risco.
Tratamentos em larga escala
Dados sensíveis
Decisões automatizadas
Tecnologias inovadoras
Potencial de causar danos
Potencial de afetar direitos fundamentais
Dados de crianças, adolescentes ou idosos
Continuam as obrigações.
No mais as obrigações continuam as mesmas, inclusive, atender aos direitos dos titulares, que é uma demanda que gera muitas dúvidas, desde quais são os direitos até como comprovar o atendimento realizado.
As empresas de menor porte continuam obrigadas a adotar medidas mínimas de segurança da informação, ou seja, terão que fazer a lição de casa, redesenhar processos e tomar medidas personalizadas em favor da segurança.
Ficam também reafirmadas para as pequenas empresas, o atendimento à todas as recomendações do boas práticas em tratamento e proteção de dados.
O DESAFIO
Mesmo com as novas regras para as empresas de menor porte a adequação à LGPD é um desafio que tem que ser vencido sem contar com os recursos das grandes empresas.
A LGPD trouxe obrigações regulatórias que não se ajustam da noite para o dia, ao contrário, pretendendo inserir no país uma nova cultura, a moderna lei, baseada principalmente nas experiências da Europa, exige esforço técnico-prático para que seja cumprida.
Para muitas empresas com faturamento abaixo dos R$ 100 milhões anuais, a LGPD está na mesa como uma questão urgente, mas que ainda não foi resolvida, e por “resolvida” queremos dizer endereçada, tendo ao menos iniciado seu projeto de adequação.
COMO ADEQUAR A EMPRESA À LGPD
E agora? Como implantar um projeto de adequação sem a disponibilidade de recursos como possuem as empresas de maior porte? Processos de compliance são comuns nas grandes empresas, mas são raros nas empresas de menor porte.
Os projetos de adequação à LGPD não se fazem apenas com boa vontade além de ter sim boa parte braçal, ou seja, demanda tanto esforço mental de especialistas – jurídico e T.I. – como também demanda um bom tempo dedicação – para o mapeamento dos dados por exemplo.
Uma verdadeira adequação à LGPD vai mexer com toda a empresa desde os cookie-banners do seu site na internet até os procedimentos do RH. Ah o RH é terceirizado? Pois bem, teremos que ver como este terceiro está tratando os dados, quais as medidas de segurança que ele utiliza etc.
O poder de fiscalização e aplicação de multas da ANPD está em vigor desde 01 de outubro de 2021. Muitos que ainda nem iniciaram seus projetos de adequação estão pressionados, aqueles que até aqui estavam preocupados com outros assuntos ou até negando que a LGPD se aplica à sua empresa, agora já não encontram mais a que se apegar para escapar das obrigações da nova lei.
Outra pressão que já bate à porta das médias e pequenas empresas para que estejam adequadas à LGPD é o próprio mercado. Escritórios de contabilidade e agências de publicidade, por exemplo, estão entre os que mais recebem pressão da sua clientela por adequação. Até para manter os clientes que já têm as empresas precisam estar adequadas. A LGPD é como uma rede, pouco adianta a empresa fazer todo o seu projeto de adequação se ela compartilhar dados com outra empresa que não tenha, pelo menos, o mesmo nível de adequação e segurança de dados.
No atendimento às obrigações instituídas pela LGPD parece que os grandes saíram na frente mais uma vez. Seja pelo maior grau de profissionalismo -como a existência de departamento de compliance– e estrutura geral da empresa, seja pelo relacionamento com outras empresas de grande porte que já exigia um melhor controle de dados e, portanto, uma bagagem melhor preparada independentemente da existência ou não de legislação.
O que resta para o empresário de pequeno e de médio porte, mais uma vez, é resolver a nova necessidade com otimização de recursos e muita atenção para não cair na tentação do washing, ou em português, da maquiagem. Isso sim pode custar caro!
Como a brasileira LGPD é espelhada na GRDR europeia que já tem alguns anos de vigência a ANPD conta com esta experiência, e pesadas multas, para desmascarar as empresas que usarem atalhos para dar a impressão de que estão adequadas quando, na verdade, não fizeram o dever de casa.
CONCLUSÃO
As novas regras de simplificação das obrigações da LGPD para as empresas de menor porte são um alívio na lista de obrigações, especialmente a desobrigação de nomeação ou contratação de um encarregado da proteção de dados.
Quanto ao registro simplificado das operações que será efetuado conforme modelo da ANPD ainda é uma expectativa em relação ao efetivo grau de simplificação que o modelo vai trazer.
Sem dúvida que os prazos elastecidos são bem-vindos, mas ainda assim as obrigações referentes permanecem obrigatórias, aqui é mais uma facilidade que uma simplificação.
As recomendações de que as empresas de menor porte tenham uma Política de Segurança da Informação e que atendam às recomendações de boas práticas, quase que coloca de volta as obrigações na mesa. É opcional, mas vai fazer diferença no caso de fiscalização…
Por outro lado, ficam mantidas as demais obrigações, inclusive a de tomar medidas para proteção de dados, que é inafastável, mas que tem conteúdo de autoavaliação, em outras palavras, a lei impõe à empresa o dever de olhar para si mesma e de se esforçar, em grau razoável, na implantação de medidas de segurança que forem as mais adequadas. Para o Brasil é uma nova cultura legislativa.
Assim como nas questões de consumo, as empresas que forem demandadas judicialmente é que terão o dever de provar que agiram de forma correta, que cumpriram as obrigações e que a alegação do autor da ação é falsa. Isto permanece para as empresas de menor porte.
As novas regras não vieram para isentar as empresas de menor porte, apenas retiraram uma parcela da tecnicidade do tema no tocante às obrigações de rotina, mas ficaram mantidas todas as responsabilidades impostas pela lei original.
Será um processo de mudança cultural, todas as empresas estão sujeitas e as que mais cedo estiverem preparadas terão vantagens, tanto do ponto de vista da fiscalização quanto da preferência dos consumidores e clientes.
Veja também as vantagens de se adequar a LGPD.
