Usamos cookies para personalizar e melhorar sua experiência em nosso site e aprimorar a oferta de anúncios para você. Visite nossa Política de Cookies para saber mais. Ao clicar em "aceitar" você concorda com o uso que fazemos dos cookies

Sexta, 22 de Outubro de 2021 - 15:30

O desafio de adequação das micro e pequenas empresas à Lei Geral de Proteção de Dados

por Rodrigo Carvalho Magalhaes Gusmão

O desafio de adequação das micro e pequenas empresas à Lei Geral de Proteção de Dados
Foto: Acervo Pessoal

A Sociedade da Informação fez surgir, no âmbito das relações econômicas, um novo modelo de negócio pautado em dados. As informações pessoais vem ganhando cada vez mais valor para a sociedade empresária, na medida em que, quanto mais dados sobre uma pessoa são coletados e utilizados, maiores são os subsídios para que a empresa prospere. Com isso, adveio a premente necessidade de o Direito regular e proteger os dados pessoais das pessoas singulares, no intuito de evitar abusos e assegurar a garantia do direito fundamental à privacidade.

 

Nesse sentido, aproveitando o ensejo do modelo regulatório europeu, a LGPD surge para regular o tratamento de dados pessoais realizado no âmbito do poder público e das relações privadas, se aplicando não somente a dados tratados por meio digital, mas também por modo físico.

 

A LGPD, a princípio, se aplica a qualquer empresa que trate dados pessoais, independentemente do seu porte, o que requer dos micro e pequenos empreendedores a iniciativa de investimento em programas de adequação e de governança coorporativa, considerando, sobretudo, que a cultura de proteção de dados pessoais no Brasil ainda é muito incipiente.

 

A Lei não faz nenhuma distinção por porte da companhia para aplicação das sanções, incluindo as multas. Isso signifca dizer que, independentemente do ramo de atuação ou tamanho da empresa, se a entidade trata qualquer tipo de dado pessoal, ela precisará estar em conformidade com a LGPD, bem como estará sujeita às sanções.
Por essa razão, verifica-se a necessidade das micro e pequenas empresas (MPE’s) começarem a incorporar a ideia da cultura de proteção de dados pessoais no seu negócio, o que exige uma mudança de mindset.

 

Vale lembrar, todavia, que o legislador brasileiro, preocupado com o fato de o micro e pequeno empreendedor não estar em pé de igualdade com as empresas de porte mais avantajado, cuidou de prever a criação de um regramento diferenciado e simplificado para o setor das startups, micro e pequenas empresas. Tal previsão parte da ideia de que, devido à algumas dificuldades e barreiras intrínsecas a esse grupo corporativo, capazes de desequilibrar a atuação no mercado perante as demais empresas, será necessário adequar as regras para se ter um tratamento mais equitativo.

 

Um estudo realizado no primeiro semestre de 2021, pela BluePex, com pequenas e médias empresas, mostrou que, de 1.000 (mil) companhias pesquisadas, apenas 4% disseram estar totalmente preparadas para a Lei e 27% se consideram parcialmente preparadas. 

 

Nesse aspecto, podemos elencar quatro grandes dificuldades no cumprimento da LGPD para as MPE’s, quais sejam: 1) fluxo de caixa insuficiente; 2) resistência cultural; 3) desconhecimento dos conceitos legais e 4) insegurança quanto às sanções.

 

O artigo 55-J da Lei atribuiu a Agência Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por fiscalizar o cumprimento da LGPD, a incumbência de editar normas, orientações e procedimentos simplificados e diferenciados para que as MPE’s pudessem se adequar à norma. Por sua vez, o processo de elaboração desse regime simplificado encontra-se em estágio de discussão, mediante debates com autoridades da área, profissionais especializados e com a sociedade.

 

Como resultado desse processo inicial, foi elaborada a primeira minuta de resolução, em que foram estabelecidas algumas flexibilizações, tais como 1) dispensa de fornecer ao titular declaração detalhada sobre a existência ou o acesso a dados pessoais, com todos os requisitos do artigo 19, inciso II da LGPD; 2) dispensa da manutenção de registros das operações de tratamento de dados pessoais previsto no art. 37 da Lei; 3) simplificação na elaboração e apresentação do relatório de impacto à proteção de dados pessoais; 4) dispensa da nomeação de um Encarregado.

 

Com relação ao Encarregado, trata-se de profissional a ser designado pela companhia com a função de intermediar a comunicação do titular dos dados pessoais, a empresa e a ANPD, de modo a garantir o cumprimento das normas e assegurar os direitos dos titulares. Contudo, a obrigação de nomear um Encarregado tende a ser dispensada no Brasil em relação aos agentes de tratamento de pequeno porte, considerando ainda, inclusive, que tal dispensa é assegurada, salvo algumas exceções, no Regulamento Geral de Proteção de Dados Pessoais europeu para o Data Protection Officer, que por seu turno, corresponde ao Encarregado, na respectiva versão europeia.

 

Para solucionar o problema da insegurança quanto às sanções, importante que o micro e pequeno empreendedor mapeie todas as suas operações de tratamento de dados pessoais, analisando os riscos de danos aos titulares em caso de violação.

 

A depender do resultado da análise, necessário que se faça um bom plano de contingência e de resposta à ocorrência de incidente de segurança, vazamento ou violação de dados pessoais, tendo em vista que a adoção de práticas preventivas e corretivas são critérios de mensuração das penalidades previstas na LGPD.

 

A superação das dificuldades pela pessoa jurídica perpassa, principalmente, pela questão de compreender a função pedagógica da LGPD, encarando-a não como um obstáculo ao livre desenvolvimento do negócio, mas sim como uma ferramenta que legitima e confere respaldo jurídico às suas operações de tratamento de dados pessoais.

 

Para o enfrentamento da dificuldade com fluxo de caixa para a contratação de profissional qualificado, e até para a função de Encarregado, recomenda-se a adoção do contrato de prestação de serviço (DPO as a service), que, inclusive, pode ser pessoa física ou jurídica, inclusive escritórios de advocacia, de modo a equalizar a intensidade e continuidade do serviço com o fôlego financeiro da companhia. A contratação ou designação de funcionário, de dentro da empresa, para desempenhar a função, pode se tornar bem onerosa, tendo em vista que a organização terá de arcar com salários e encargos trabalhistas.

 

No tocante à superação dos problemas da falta de compreensão dos preceitos legais e da resistência cultural, verifica-se que, primeiramente, é imprescindível que o empreendedor enxergue a proteção de dados como um ativo intangível, que agrega valor à companhia e aumenta o nível de reputação perante o mercado, e não como um limitador das suas atividades. Ora, a sociedade e o mercado irão valorizar a companhia que melhor cuida e protege o seus dados pessoais.

 

A partir do momento em que a empresa adotar as melhores práticas, como o privacy by design, a compreensão dos princípios norteadores da legislação, bem como prover o titular de informações claras e precisas acerca da utilização do seus dados, a sociedade caminhará para a efetivação do processo de aculturamento da proteção de dados no país, pavimentando o percurso para o pleno discernimento acerca dos preceitos legais e na atenuação da resistência cultural.

 

*Rodrigo Carvalho Magalhães Gusmão é advogado

 

*Os artigos reproduzidos no espaço não representam, necessariamente, a opinião do Bahia Notícias

Histórico de Conteúdo