O que esperar das novas regras de proteção de dados para PMES?
Entenda como funciona o tratamento de dados pessoais no caso das pequenas em médias empresas, nas quais há limitação de recursos humanos e de capital
Da Redação
Publicado em 14 de julho de 2021 às 13h00.
Última atualização em 15 de julho de 2021 às 19h30.
Por Camila Kojima, sócia do escritório Filhorini Advogados Associados
Os empresários aguardam ansiosamente as novas regras da Autoridade Nacional de Proteção de Dados (ANPD) aplicáveis às pequenas e médias empresas sobre o tratamento de dados pessoais, que devem simplificar diversas questões que atualmente são válidas para todas as empresas, independentemente do seu porte.
- A pandemia mostrou que a inovação será cada dia mais decisiva para seu negócio.Encurte caminhos, e vá direto ao ponto com o curso Inovação na Prática
Numa empresa menor, em que há limitação de recursos humanos e de capital, o foco está voltado para a sua atividade principal, de modo que a administração do tratamento dos dados pessoais se torna altamente onerosa, uma vez que demanda gerenciamento e pessoal especializado.
Como funciona em outros países
Nos países da União Europeia, em que a lei de proteção de dados pessoais correspondente (General Data Protection Regulation - GDPR) está em vigor há mais tempo e num patamar mais avançado de discussões, existe previsão específica na legislação para as micro e pequenas empresas.
Nesses países, as empresas com menos de 250 empregados não são obrigadas a manter registro das operações de tratamento de dados pessoais, exceto se: a própria atividade da empresa consistir no tratamento de dados; ou se houver um risco de dano aos titulares dos dados; ou ainda, se houver tratamento de “dados pessoais sensíveis” — que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, biométricos, relativos à saúde ou à vida sexual ou orientação sexual — ou relativos a condenações penais e infrações.
Além disso, a obrigatoriedade em nomear um Encarregado de Proteção de Dados (Data Protection Officer - DPO) é aplicável para autoridade/organismo públicos, exceto os tribunais no exercício da sua função jurisdicional, e empresas cujas atividades principais envolvam o tratamento de dados pessoais que demandam um controle regular e sistemático em grande escala ou, que envolvam o tratamento em grande escala de dados pessoais sensíveis ou relativos a condenações penais e infrações.
Como é atualmente no Brasil
No Brasil, a Lei Geral de Proteção de Dados Pessoais ( LGPD ) deixou para a Autoridade Nacional de Proteção de Dados (ANPD) editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, aplicáveis às microempresas, empresas de pequeno porte e startups (art. 55-J, XVIII).
Na mesma linha adotada pela União Europeia, uma das medidas que se aguarda no Brasil é a regulamentação pela ANPD sobre as hipóteses de dispensa de nomeação do encarregado (DPO).
A própria LGPD traz essa possibilidade (art. 41, 3º parágrafo) ao conferir liberdade à ANPD para estabelecer normas sobre a definição e atribuições do encarregado, inclusive a liberação de manter o encarregado, levando em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Dessa forma, ao menos dois critérios importantes devem ser considerados para a inexigibilidade de nomeação de um DPO:
- O tamanho da empresa — e aqui será necessário definir qual o critério aplicável, se será o mesmo da Lei Complementar 123/2006, ou seja, baseado na receita bruta e
- O volume de operações de tratamento de dados.
É importante existir esses dois critérios, pois mesmo uma pequena empresa, a depender de sua atividade, pode lidar com diversos dados pessoais, inclusive dados pessoais sensíveis (a exemplo de uma clínica). Nesses casos, em que o risco de incidentes de segurança e o potencial de danos aos titulares é maior, é razoável que seja exigida a nomeação de um encarregado.
Uma segunda expectativa, no sentido de regulamentação específica para PMEs, diz respeito aos relatórios de impacto, que são os documentos que contêm a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, assim como os mecanismos para mitigação de risco.
Existe espaço para modular a obrigatoriedade na elaboração dos relatórios de impacto, uma vez que a LGPD prevê a faculdade de a ANPD determinar à empresa a elaboração do relatório (art. 38) e estabelece que esses relatórios poderão ser exigidos pela ANPD quando o tratamento dos dados pessoais tiver como fundamento o legítimo interesse.
Assim, espera-se que a ANPD apresente critérios claros quanto à obrigatoriedade da elaboração desses documentos, bem como uma simplificação na metodologia do relatório, para que possa ser acessível para todas as empresas.
Portanto, é importante as PMEs permanecerem bem-informadas sobre o assunto, ao qual voltaremos em um próximo artigo. Além dessas duas expectativas que mencionamos agora, existem diversas outras que deverão ser analisadas cuidadosamente pela ANPD, com o intuito de adequar a legislação à realidade das mais diversas empresas, sem perder de vista a proteção aos direitos dos titulares dos dados pessoais.
Tem dúvidas sobre como administrar a sua pequena empresa? Assine a EXAME e tenha acesso a conteúdos semanais sobre o assunto.