A LGPD (Lei Geral de Proteção de Dados) está valendo desde o ano passado. Uma alteração recente a pedido do Sebrae e outras entidades, faz com que as pequenas empresas agora tenham tratamento diferenciado, sendo dispensadas de algumas obrigações e simplificação de processos de adequação. É o que vou explicar nesse artigo!

Relembrando:

O que é a LGPD?

A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.

A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. 

Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos. 

*Fonte: Ministério Público Federal


Veja também:


A importância do consentimento

Na LGPD, o consentimento do titular dos dados é elemento essencial para o tratamento, regra excepcionada nos casos previstos no art. 11, II, da Lei.

E aqui é importante observar: a lei traz várias garantias ao usuário, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular. 

Como funciona a fiscalização

Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição tem as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei de uma forma geral. 

No entanto, a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com os titulares dos dados pessoais e a autoridade nacional. 

Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.

E o próximo parágrafo exige muita atenção:

As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações.

Pequenos negócios precisam de tratamento diferenciado

De acordo com o Sebrae, a intenção não é eximir os pequenos negócios da responsabilidade de proteger os dados pessoais, mas sim, que as suas especificidades sejam observadas (conforme prevê a Constituição brasileira). As alterações são um importante instrumento para auxiliar os pequenos negócios, que correspondem a 99% dos empreendimentos brasileiros, ou seja, um universo de mais de 17 milhões de empresas.

“Os microempreendedores individuais e pequenas empresas precisam ter equidade no tratamento, justamente por não terem porte e orçamento de grandes empresas. É uma questão de equilíbrio e aumento da efetividade da lei.”, destaca Carlos Melles, presidente do Sebrae. 

As novas regras que passaram a valer a partir de janeiro de 2022, se aplicam à:

  • microempresas e empresas de pequeno porte, 
  • startups;
  • organizações sem fins lucrativos.

As pequenas empresas não terão os benefícios de flexibilização da LGPD em 2 principais cenários:

1.Tratamento dos dados de alto risco

As novas regras não são aplicáveis quando o tratamento for considerado de alto risco para os titulares. Um tratamento pode ser considerado de alto risco quando atender, cumulativamente, a pelo menos um critério geral e um critério específico:

Critérios gerais

  • quando o tratamento de dados pessoais for realizado em larga escala;
  • o tratamento de dados pessoais pode afetar significativamente interesses e direitos fundamentais dos titulares.

Critérios específicos

  • uso de tecnologias emergentes ou inovadoras;
  • vigilância ou controle de zonas acessíveis ao público;
  • decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
  • utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Existem ainda dúvidas do que pode ou não ser considerado tratamento de alto risco. Por esse motivo, consta na Resolução que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

Para caracterizar um tratamento em larga escala devem ser considerados fatores como: o número de titulares, o volume de dados pessoais envolvidos, duração, frequência e extensão geográfica do tratamento realizado.

2. Receita bruta superior ao limite permitido

Também não estão incluídas nas novas regras as empresas que auferirem receita bruta superior ao limite permitido:

  • para empresas de pequeno porte: receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), em cada ano-calendário;
  • para startups: receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior;
  • ou também no caso de a empresa pertencer a grupo econômico cuja receita global ultrapasse os limites referidos acima.

Na prática, o que muda? 

  • Pode mandar whatsapp?
  • Precisa apagar dados antigos?

Dentre as flexibilizações previstas estão a possibilidade de se manter um registro mais simplificado de suas operações, já que a lei exige um inventário de todas as operações de dados e também a flexibilização do procedimento para a comunicação de incidentes de segurança. A resolução prevê que a ANPD disponibilizará um formulário próprio para o registro e que o procedimento relativo aos incidentes será objeto de regulação futura.

Outras regras permitem ainda a adoção de uma política simplificada de segurança da informação e prazos diferenciados para pequenos empreendedores que terão, por exemplo, o dobro do prazo que é exigido de grandes empresas para responderem a questionamentos apresentados pelos titulares dos dados.

Uma das mudanças mais impactantes refere-se à dispensa da nomeação do Data Protection Officer (DPO), que é a pessoa responsável por manter a comunicação entre o agente que trata dos dados, seus titulares e a ANPD. 

Pela nova resolução, bastará a criação de um canal de comunicação com os titulares dos dados. Mas, em razão da importância do DPO, o regulamento traz um incentivo para sua indicação, ao tratá-la como política de boas práticas e governança.

Mandar WhatsApp para desconhecidos fere a LGPD?

A revista Pequenas Empresas, Grande Negócios entrevistou especialistas para responder essa questão: 

Se for uma mensagem entre contas de pessoas físicas, para fins particulares, não fere a LGPD. Mas, se tiver fins econômicos, como promoção de produtos ou serviços, e não houver uma justificativa legal para o envio, pode ser passível de sanção. 

Vale lembrar que todo o tratamento de dados pessoais precisa ter uma base legal, que estará vinculada à finalidade do que você vai fazer ou pretende fazer com o dado. 

A LGPD prevê dez justificativas legais para tratamento de dados pessoais e uma delas é o consentimento. Há ainda a possibilidade de contato para cumprimento de obrigação legal, como cobranças, ou para a realização de estudos por órgãos de pesquisa, por exemplo. 

Portanto, não saia por aí enviando mensagens de WhatsApp para quem não consentiu receber suas comunicações. Pergunte, entenda se a pessoa quer fazer parte da sua lista de envios, para evitar punições impostas pela lei. 

Segurança da Informação

Pelas novas regras os requisitos ficaram mais brandos em relação à segurança da informação:

  • criação de uma Política de Segurança da Informação simplificada para pequenas empresas;
  • determina que os agentes de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias. Aqui, é importante lembrar que, em outubro de 2021, a ANPD publicou um Guia Orientativo sobre Segurança da Informação para agentes de tratamento de pequeno porte, contendo um conjunto de medidas mínimas necessárias;
  • a ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, tal mudança, contudo, este ponto segue pendente de regulamentação.

Importante destacar que isso não isenta as empresas de pequeno porte do cumprimento dos demais dispositivos da LGPD, incluindo mas não se limitando às bases legais, princípios e direitos dos titulares.

Conclusão

A expectativa é que essas medidas contribuam para estabelecer um ecossistema de proteção de dados pessoais mais seguro e, consequentemente, para um aumento na confiança dos titulares de dados nos agentes de tratamento de dados pessoais das pequenas empresas. 

Por fim, as medidas sugeridas devem ser entendidas como boas práticas e complementadas com outras que venham a ser identificadas como necessárias para promover a segurança no fluxo informacional dos dados pessoais, por menor que seja o negócio.

Deixe um comentário

Seu endereço de e-mail não será publicado.