A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece as normas para coleta e tratamento de dados, por pessoa natural ou jurídica, de direito público ou privado, na oferta de bens ou serviços em território nacional.
Visando à proteção dos dados, a norma determina a adoção de uma série de medidas de segurança, técnicas e administrativas a serem observadas tanto pelos agentes de tratamento (controlador ou operador) como por qualquer outra pessoa que intervenha em uma das fases do tratamento dos dados pessoais.
Tais medidas compreendem a implementação de programas de governança em privacidade, que abrangem a contratação de sistemas de mapeamento e gestão de dados, além do envolvimento de profissionais especializados.
Não existe isenção de aplicação da LGPD em relação ao porte da empresa. Por isso, todas estão obrigadas a se adequarem às normas de privacidade e proteção de dados. Contudo, microempresas (MEs) e empresas de pequeno porte (EPPs) podem não dispor da estrutura, sobretudo financeira, para um projeto de adequação aos termos da Lei.
Com isso, no próprio texto legal, foi atribuída a competência à Autoridade Nacional de Proteção de Dados (ANPD) para editar normas, orientações e procedimentos simplificados e diferenciados para que as MEs e as EPPs possam se adequar à LGPD. Essa regulamentação se deu pela Resolução CD/ANPD nº 2, publicada em janeiro de 2022, e está em pleno vigor.
São consideradas microempresas e empresas de pequeno porte a sociedade empresária, a sociedade simples, a sociedade limitada unipessoal, bem como o empresário e o microempreendedor individual devidamente inscritos no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas.
Para fins de aplicação das regras de privacidade e proteção de dados, os referidos sujeitos ficam enquadrados como agentes de tratamento de pequeno porte e são beneficiados com a dispensa ou a flexibilização de algumas das disposições relativas ao tratamento dos dados pessoais. Neste sentido, poderão registrar as atividades de tratamento de dados em formato simplificado, cujo modelo ainda será fornecido pela ANPD. Lembrando que o registro é uma obrigação prevista no artigo 37 da lei brasileira de proteção de dados.
Diferentemente dos demais, os agentes de tratamento de pequeno porte não serão obrigados a nomear um encarregado de proteção de dados/DPO. Contudo, deverão disponibilizar um canal de comunicação com os titulares para o recebimento de reclamações, comunicações, assim como para a prestação de esclarecimentos e adoção das providências necessárias.
Ainda, deverão adotar medidas administrativas e técnicas essenciais e necessárias, sendo permitido ter como base requisitos mínimos de segurança da informação para a proteção dos dados pessoais, podendo observar as recomendações divulgadas pela própria ANPD por meio dos guias orientativos publicados.
Outro benefício consiste na aplicação de prazos em dobro para o atendimento das solicitações dos titulares e para a comunicação de determinados tipos de incidentes à ANPD.
Existem várias outras vantagens que possibilitam a completa execução de um projeto de adequação às MEs e às EPPs, de maneira que não padeçam de um rombo em seus caixas. As benesses, claro, não isentam esses agentes de observarem os demais dispositivos da Lei Geral de Proteção de Dados Pessoais.
Importa lembrar que a fiscalização e a aplicação das multas administrativas acontecerão de forma efetiva a partir de 2023, com a publicação do regulamento que define a dosimetria das infrações. Portanto, as MEs e as EPPs devem ficar atentas, pois não será concedido nenhum prazo adicional para a adequação, uma vez que a Lei está em vigor desde setembro de 2020, tendo decorrido tempo suficiente para a sua assimilação.
*Lucelia Bastos Gonçalves Marcondes é advogada no Rücker Curi Advocacia e Consultoria Jurídica