Regulamentação da Autoridade Nacional de Proteção de Dados
O Regulamento Geral de Proteção de Dados da União Europeia – considerando a particular situação das micro, pequenas e médias empresas[1] – isentou o registro de atividades de tratamento pelas empresas ou organizações com menos de 250 trabalhadores, excetuado o tratamento que seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja tratamento de categorias de dados especiais[2]:
|A experiência europeia
- que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
- relativos a condenações penais e infrações.
Com a aprovação da Carta Europeia das Pequenas Empresas pelo Conselho Europeu de Santa Maria da Feira tornou-se necessária uma definição mais precisa das microempresas, que constituem uma categoria de pequenas empresas especialmente importante para o desenvolvimento do espírito empresarial e para a criação de empregos.
O conceito de micro, pequenas e médias empresas está consignado na Recomendação 2003/361/CE da Comissão das Comunidades Europeias[3]:
Empresa: qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade econômica. São consideradas como tal as entidades que exercem uma atividade artesanal ou outras atividades a título individual ou familiar, as sociedades de pessoas ou as associações que exercem regularmente uma atividade económica. Art.1º
Limiares definidores das categorias de empresas:
Micro, pequenas e médias empresas: constituída por empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros. Art. 2º, 1
Pequena empresa: emprega menos de 50 pessoas e cujo volume de negócios anual ou balanço total anual não excede 10 milhões de euros. Art.2º, 2
Microempresa: emprega menos de 10 pessoas e cujo volume de negócios anual ou balanço total anual não excede 2 milhões de euros. Art.2º, 3
|SEBRAE
O Serviço Brasileiro de Apoio às Micro e Pequenas Empresas delimita as classes pelo critério de número de funcionários:
Microempresa
Setor Serviço e Comércio = até 9 funcionários
Setor Industrial e de Construção = até 19 funcionários
Pequena empresa
Serviço e Comércio = de 10 a 19 funcionários
Setor Industrial e de Construção = de 20 a 99 funcionários
|Reivindicações do Fórum Permanente das Microempresas e Empresas de Pequeno Porte
O FPMPE aprovou a proposta final de regulamentação do tratamento diferenciado para Microempresas e Empresas de Pequeno Porte no contexto da LGPD, que foi encaminhada pelo Ministério da Economia à Autoridade Nacional[4].
A proposta contou com a contribuição de mais de 15 entidades, entre elas: Associação Brasileira de Franqueados (ASBRAF); Associação Nacional dos Bureaus de Crédito (ANBC); Confederação Nacional do Comércio (CNC); Confederação Nacional de Dirigentes Lojistas (CNDL); Confederação Nacional da Indústria (CNI); Confederação Nacional de Jovens Empresários (Conaje); Conselho Regional de Contabilidade do Espírito Santo (CRCES); Frente Empresarial pela LGPD; Ordem dos Advogados do Brasil (OAB) Rede Governança Brasil (RGB) e Confederação da Agricultura e Pecuária do Brasil (CNA).
O SEBRAE foi responsável pela elaboração da minuta e organização das sugestões recebidas.
A proposta apresentada para o tratamento diferenciado e procedimento simplificado de adequação à LGPD pelas MPEs continha as seguintes reivindicações:
- O conceito de MPEs abrange o microempreendedor individual (MEI), as microempresas e as empresas de pequeno porte.
- Adoção de prazos diferenciados: para o atendimento às solicitações dos titulares de dados pessoais; prazos diferenciados e formulários simplificados para a comunicação de incidentes à ANPD; para a resolução de controvérsias e na comunicação de incidentes e na resolução de controvérsias.
- O tratamento diferenciado proposto deve atender condições específicas para a dispensa: a operação de tratamento apresente alto risco para os direitos e liberdades dos titulares, na forma definida pela ANPD em regulamento específico; o volume de operações de tratamento de dados for considerado, na forma definida pela ANPD em regulamento específico, de caráter continuado e fora do que é esperado para uma atividade desenvolvida por MPEs; as operações de tratamento abranjam dados pessoais sensíveis como parte substancial de seu modelo principal de negócios.
- Obrigações dispensadas: manter registro das operações de tratamento de dados pessoais que realizarem; elaborar relatório de impacto à proteção de dados pessoais referente às suas operações de tratamento de dados ressalvado o art. 10 § 3 º; indicar encarregado pelo tratamento de dados pessoais; adotar medidas técnicas e administrativas aptas desde a fase de concepção do produto ou serviço até sua execução; realizar a Avaliação de Legítimo Interesse ou procedimento equivalente quando o tratamento for fundamentado no legítimo interesse da; anonimizar ou pseudonimizar os dados pessoais, quando o procedimento for excessivamente oneroso ou tecnicamente complexo à MPE.
- Dispensas para o MEI: indicar encarregado pelo tratamento de dados pessoais, ainda que não se enquadre nas condições previstas neste regulamento.
- As MPEs devem adotar medidas técnicas e administrativas simplificadas e que sejam proporcionais ao risco do negócio; podem estruturar programa simplificado de governança em privacidade e proteção de dados pessoais, devendo ser priorizado: o efetivo respeito aos direitos dos titulares dos dados pessoais, de maneira proporcional às atividades da MPE; a correta adequação das bases legais da LGPD às operações de tratamento realizadas; a realização de ações educativas sobre privacidade e proteção de dados pessoais; a construção de uma política de privacidade que respeite os princípios do art.6º da LGPD; e ações para mitigar situações de riscos em relação à privacidade e proteção de dados pessoais.
A proposta sugere uma etapa prévia educativa antes da aplicação das sanções, a celebração de termo de compromisso com a MPE infratora e redução das multas aplicadas pela ANPD: noventa por cento para MEI; 50% para as microempresas ou empresas de pequeno porte.
- As reduções não se aplicam se comprovada qualquer das seguintes situações: fraude, resistência ou embaraço à fiscalização; inadimplemento superior a cento e oitenta dias no pagamento de outra multa imposta pela ANP; parcelamento das multas aplicadas podem ser parcelas em prazos maiores do que os concedidos a outros agentes de tratamento.
- Na fixação da multa, a ANPD deve considerar os obstáculos e as dificuldades reais da MPE, assim como a boa-fé.
|A proposta da ANPD
APÓS A PUBLICAÇÃO DO PRESENTE ARTIGO A ANPD PUBLICOU O REGULAMENTO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE – Resolução CD/ANPD 2/2022
‘Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei’.
Autoridade Nacional de Proteção de Dados detém a competência para adotar procedimentos simplificados de adequação, para micro e empresas de pequeno porte, como como iniciativas empresariais que se auto declarem startups ou empresas de inovação[5]:
Nesse sentido a ANPD abriu consulta pública da minuta de regulamentação, informando as normas aplicáveis às microempresas e empresas de pequeno porte, além das iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação.
Passamos a informar as reivindicações propostas pelo Fórum, seguidas do posicionamento da ANPD.
Definições
O texto adota definições contidas no Estatuto Nacional da Microempresa e da empresa de pequeno porte[6] e no marco legal das startups[7].
Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da do Código Civil – incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas.
Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador[8].
Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados.
Pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos.
Reivindicação atendida. O agente deverá comprovar seu enquadramento, que poderá vir a ser alterado pela ANPD.
Sob as condições de faturamento os agentes de tratamento de pequeno porte devem auferir receita bruta de até 16 milhões de reais no ano-calendário anterior ou de R$ 1 milhão 333 mil e 334 reais multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses, independentemente da forma societária adotada[9]. Reivindicação atendida com elevação da receita devido a aplicação da LC 182/2021
Encarregado de dados
Dispensa da obrigatoriedade de nomeação do encarregado de dados. Nesse caso deve ser disponibilizado canal de comunicação com o titular de dados[10]. Atendida a reivindicação.
Tratamento de alto risco
A flexibilização não se aplica a agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares que envolva:
dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos; vigilância ou controle de zonas acessíveis ao público; uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Reivindicação atendida. Adotada concepção mais ampla do que o RGPD.
Tratamento de alta escala – Condições para a dispensa de obrigações
O volume de operações de tratamento de dados for considerado, na forma definida pela ANPD em regulamento específico, de caráter continuado e fora do que é esperado para uma atividade desenvolvida por MPEs.
Definição da ANPD: Assim será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. Excetuado o tratamento de dados de funcionários ou para fins exclusivos de gestão administrativa.
Obrigações dispensadas
. Manter registro das operações de tratamento de dados pessoais que realizarem. Atendido.
. Relatório de impacto à proteção de dados pessoais referente às suas operações de tratamento de dados. Faculdade de apresentar de forma simplificada quando for exigido por resolução específica.
. Indicar encarregado pelo tratamento de dados pessoais. Não obrigatoriedade de indicação.
. Adotar medidas técnicas e administrativas aptas desde a fase de concepção do produto ou serviço até sua execução. Devem adotar medidas baseadas em requisitos mínimos de segurança da informação.
. Realizar a Avaliação de Legítimo Interesse ou procedimento equivalente quando o tratamento for fundamentado no legítimo interesse. Possibilidade de apresentação simplificada.
. Anonimizar ou pseudonimizar os dados pessoais, quando o procedimento for excessivamente oneroso ou tecnicamente complexo à MPE. Atendido.
. O MEI é dispensado de indicar encarregado pelo tratamento de dados pessoais, ainda que não se enquadre nas condições previstas neste regulamento. Dispensa a todos agentes de pequeno porte.
. As MPEs devem adotar medidas técnicas e administrativas simplificadas e que sejam proporcionais ao risco do negócio. Dever de adotar requisitos mínimos, considerado o nível de risco.
Prazos diferenciados para o atendimento às solicitações dos titulares
Os prazos para as MPEs atenderem às solicitações dos titulares referentes ao tratamento de seus dados pessoais (arts. 18º, §3 º e 5º, e 19º, da LGPD) são superiores em sessenta dias ao maior prazo concedido a outros agentes de tratamento. Concedido prazo em dobro. Possibilidade de atendimento por meio eletrônico ou físico.
Prazos diferenciados e formulários simplificados para a comunicação de incidentes à ANPD
O prazo para as MPEs comunicarem à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48 da LGPD) é superior em dez dias ao maior prazo concedido a outros agentes de tratamento, contado a partir de seu conhecimento. Concedido prazo em dobro.
É dispensada a comunicação se o incidente não resultar em risco para os direitos e liberdades dos titulares. Não concedido.
Se a notificação à ANPD não for realizada no prazo do caput, deve ser acompanhada dos motivos do atraso. Não mencionado.
A comunicação à ANPD deve ser feita por meio de formulários eletrônicos simplificados, que reduzam o custo financeiro e de tempo para o preenchimento. Atendido.
Os prazos não especificados na Resolução serão determinados por resoluções específicas.
|Conclusões
A minuta de Resolução trouxe exceções bem mais alargadas do que o Regulamento Europeu para as MPEs.
Foi atendida a extensa maioria das reivindicações do Fórum Permanente das Microempresas e Empresas de Pequeno Porte.
O texto deixou muitas questões em aberto e pendentes de posicionamento posterior.
Foi prevista a faculdade dos agentes de tratamento de pequeno porte, inclusive àqueles que realizam tratamento de alto risco e em larga escala, fazerem-se representar por entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados. A assessoria também poderá ser prestada por pessoas jurídicas sem fins lucrativos e pessoas naturais.
Ana Amelia Menna Barreto
Advogada, Docente Mestre em Direito.
Especialista em Direito Digital e Proteção de Dados. www.anaamelia.com.br
[1] Considerando 13
[2] Art. 30, 5
[3] Utilizada nas políticas comunitárias aplicadas no interior da Comunidade e do Espaço Económico Europeu.
[4] Ministério da Economia apresenta proposta de regulamentação do tratamento diferenciado para MPEs. Disponível em: <https://www.gov.br/economia/pt-br/assuntos/noticias/2021/fevereiro/ministerio-da-economia-apresenta-proposta-de-regulamentacao-do-tratamento-diferenciado-para-mpes>
[5] LGPD, Art. 55-J, XVIII
[6] LC 123/2006, art. 3º
[7] LC 182/2021
[8] Proposta, art. 2º, IV
[9] LC 182/2021, art. 4º, §1º, inciso I
[10] Art. 13
