Neste artigo, vamos comentar sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em empresas de pequeno porte (EPP’s) de acordo com a Resolução CD/ANPD Nº 2/2022.
1. Da competência da ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) pode editar normas, orientações e procedimentos simplificados, em especial, para microempresas, empresas de pequeno porte e startups – art. 55-J, inciso XVIII, da LGPD.
Nesse sentido, por meio da Resolução CD/ANPD Nº 2/2022, a ANPD flexibilizou a aplicação da LGPD para os agentes de tratamento de pequeno porte.
Contudo, como veremos no tópico 2.3 , a ANPD, a princípio, excedeu sua competência conferida pela LGPD.
2. Quem são os agentes de tratamento de pequeno porte?
A LGPD prevê dois agentes de tratamento (controlador e o operador), mas a Resolução criou um novo tipo – os agentes de tratamento de pequeno porte, sendo eles:
- microempresas e empresas de pequeno porte
- startups
- pessoas jurídicas de direito privado, inclusive sem fins lucrativos
- pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador
Porém, para saber se as empresas de pequeno porte podem se beneficiar da flexibilização da LGPD é necessário verificar os critérios econômicos, bem como as exceções estabelecidas pela Resolução.
Todavia, para facilitar o entendimento vamos esmiuçar cada um dos agentes de pequeno porte.
2.1 Microempresas e empresas de pequeno porte
De acordo com o art. 3 da LC nº 123/2006, consideram-se empresas de pequeno porte:
- sociedade empresária
- sociedade simples
- sociedade limitada unipessoal
- empresário – art. 966, Código Civil
- microempreendedor individual (MEI)
Primeiramente, para qualificar EPP como agente de pequeno porte a ANPD estabeleceu um critério econômico – art. 2, inc. II, da Resolução.
Ou seja, devemos observar o limite do faturamento, em cada ano-calendário, das empresas de pequeno porte, vejamos:
- microempresas: receita bruta igual ou inferior a R$ 360.000,00 (trezentos e sessenta mil reais)
- empresas de pequeno porte: receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais)
- microempreendedores individuais: receita bruta de até R$ 81.000,00 (oitenta e um mil reais)
Agora, vejamos esta ilustração:
Portanto, se o faturamento anual das empresas de pequeno porte não ultrapassar os acima destacados, as EPP’s estarão em conformidade com os critérios econômicos.
Porém, também é necessário verificar as exceções – tratamento de alto risco, ver tópico 3 – para concluir se uma EPP, de fato, poderá usufruir da Resolução.
2.2 STARTUPS
A ANPD também estabeleceu um critério econômico (art. 2, inc. II, da Resolução) para qualificar uma startup como agente de pequeno porte.
Além disso, devemos observar as regras estabelecidas no marco legal das startup, (LC nº 182/2021) que definiu o seguinte:
- caracterizam-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados
- receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada
- empresas com até 10 anos de inscrição no cadastro nacional de pessoa jurídica (CNPJ)
Portanto, se o faturamento anual de uma startup não for maior que R$ 16.000.000,00, ela estará de acordo com os critérios econômicos estabelecidos pela ANPD.
Mas, também é necessário verificar as exceções – tratamento de alto risco, ver tópico 3 – para concluir se determinada startup poderá se beneficiar da resolução.
2.3 Pessoas jurídicas de direito privado, inclusive sem fins lucrativos
Em tese, as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, estão qualificadas como agentes de pequeno porte, quais sejam – art. 45, do Código Civil, a saber:
- associações
- sociedades
- fundações
- organizações religiosas
- partidos políticos
Contudo, precisamos apontar que, apesar da ANPD ter competência para editar normas, orientações e procedimentos simplificados (ver tópico 1), a LGPD não delega a competência para que ela regulamente a flexibilização sobre as “associações, fundações, organizações religiosas e partidos políticos”.
Portanto, por ora, devemos ter cautela sobre a utilização da flexibilização nesses grupos acima mencionados.
Assim, vale lembrar também que é necessário verificar as exceções – tratamento de alto risco, ver tópico 3 – para concluir se as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, podem ou não usufruírem da Resolução.
2.4 Pessoas naturais e entes privados despersonalizados
As pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, também podem gozar do flexibilidade da aplicação da LGPD.
Vale lembra que o controlador é quem tem o poder sobre as decisões referentes ao tratamento de dados.
Enquanto o operador é quem realiza o tratamento de dados em nome do controlador.
Logo, podem ser qualificados como pessoas naturais os profissionais liberais – advogados, médicos, engenheiros etc.
Por outro lado, os condomínios, a princípio, como entes despersonalizados.
Contudo, devem ser observados os critérios econômicos (ver tópicos 2.1/2.2) e também as exceções – tratamento de alto risco, ver tópico 3 – para concluir se, de fato, é possível utilizar a flexibilização da LGPD.
2.5. Grupos econômicos
De acordo com o art. 2, §2º, da Consolidação das Leis do Trabalho (CLT), definiu grupo econômicos da seguinte forma:
“§ 2o Sempre que uma ou mais empresas, tendo, embora, cada uma delas, personalidade jurídica própria, estiverem sob a direção, controle ou administração de outra, ou ainda quando, mesmo guardando cada uma sua autonomia, integrem grupo econômico, serão responsáveis solidariamente pelas obrigações decorrentes da relação de emprego.” (grifos nossos)
Assim, os agente de pequeno porte que forem enquadrados como grupo econômicos não poderão ultrapassar os limites anuais dos faturamentos:
- Microempresas e empresas de Pequeno Porte – ver tópico 2.1
- Startups – ver tópico 2.2
Além disso, também devem ser observadas as exceções – tratamento de alto risco, ver tópico 3 – para concluir se é possível usufruir da Resolução.
3. Exceções – agentes de pequeno porte que não podem se beneficiar da flexibilização da LGPD
No tópico 2, explicamos que, em suma, é por meio do critério econômico que identificamos se empresas de pequeno porte podem ser enquadradas como agentes de pequeno porte.
Todavia, mesmo que uma empresa esteja dentro dos critérios econômicos, ainda existem outros requisitos que precisam ser analisados em conjunto para saber se o agente de pequeno porte pode ou não aplicar a flexibilização da Resolução, vejamos:
3.1 Tratamento de alto risco para os titulares
Em regra, os agentes de pequeno porte que realizarem tratamento de dados de alto risco não podem utilizar a flexibilização da LGPD.
3.2. O que é considerado tratamento de alto risco?
Primeiramente, a ANPD, para identificar um tratamento de alto risco, estabeleceu dois critérios que devem ser analisados de forma cumulativa, vejamos:
a) Critérios gerais:
a.1 ) Tratamento de dados pessoais em larga escala – art. 4, §1º, da Resolução
De acordo com a Resolução, o tratamento de dados pessoais em larga escala será caracterizado quando:
- “abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”.
No entanto, com a devida vênia, a ANPD não esclareceu o que de fato é um tratamento de larga escala, pois não quantificou o número significativo de titulares, o volume de dados, a duração, a frequência e a extensão geográfica do tratamento realizado.
Assim, recomendamos aos agentes terem uma conduta mais conservadora possível.
a.2) Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares – art. 4, §2º, da Resolução;
Já o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais foi definido da seguinte forma:
- “será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade”. (grifos nossos)
Todavia, a ANPD ao utilizar a expressão “dentre outras situações” criou um rol exemplificativo, ou seja, não se limitou apenas as situações mencionadas acima.
Ademais, esse tipo de tratamento de dados foi inserido no campo da subjetividade.
Visto que devido ao termo utilizado, provavelmente, ocasionará diversas interpretações sobre o que pode ou não ser considerado como “afetar significativamente interesses e direitos fundamentais”.
b) Critérios específicos – art. 4, inciso II, alinhas, a, b, c, d, da Resolução
b.1) uso de tecnologias emergentes ou inovadoras;
b.2) vigilância ou controle de zonas acessíveis ao público;
b.3) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
b.4) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
3.2.1 Como identificar um tratamento de dados de alto risco?
Devem ser analisados em conjunto os critérios gerais (tópico 3.2 – a) com os critérios específicos (tópico 3.2 – b), por exemplo:
Uma startup que cria um aplicativo para gerenciar a saúde de seus usuários, em seguida, milhares de pessoas baixaram o app e colocam seus dados pessoais sensíveis.
Nesse cenário, a startup não poderia usufruir da flexibilização da LGPD, visto que, a princípio, foram utilizados dados em larga escala (critério geral), e também coletaram dados sensíveis (critérios específicos).
Em outras palavras, para haver o tratamento de alto risco é necessário combinar um critério geral com um critério específico.
Então, no mesmo exemplo, se não houvesse o tratamento de dados sensíveis – critério específico – a startup, em tese, poderia se beneficiar da flexibilização.
4. Obrigações do agente de tratamento de pequeno porte – art. 6 da Resolução
Inicialmente, é necessário explicar que a dispensa ou flexibilização das obrigações não isenta os agentes do cumprimento dos demais dispositivos da LGPD.
4.1 Obrigações relacionadas aos direitos do titular – art. 7, da Resolução
As empresas devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, conforme os arts. 9º e 18 da LGPD, por meio de:
- eletrônico
- impresso ou
- qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares
4.2 Registro das atividades de tratamento – art. 9 da Resolução
Os agentes podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada.
A ANPD fornecerá modelo para o registro simplificado.
No entanto, até o momento não foi publicado tal documento.
4.3 Comunicações dos Incidentes de Segurança – art. 10 da Resolução
A ANPD também irá elaborar, por meio de regulamentação específica, procedimento simplificado (ou flexibilizado) de comunicação de incidentes de segurança aos agentes.
Entretanto, até o momento não foi publicado tal documento.
Mas, atualmente, recomendamos a utilização do modelo oficial da ANPD para comunicar incidentes de segurança.
4.4 Dispensa do encarregado (DPO) – art. 11 da Resolução
Os agentes não são obrigados a indicar o Encarregado (DPO) pelo tratamento de dados pessoais.
Porém, deverá ser disponibilizado um canal de comunicação com o titular de dados para:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
Portanto, a indicação de um Encarregado por parte das empresas será considerado política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas.
4.5 Segurança e das Boas Práticas – art. 12 da Resolução
Os agentes devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
Nesse sentido, os agentes podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
E, para auxiliar os agentes a cumprirem essas medidas de segurança, a ANPD elaborou o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte.
Aliás, a ANPD também considerará a existência de política simplificada de segurança da informação para fins responsabilização e prestação de contas.
5. Prazos diferenciados – art. 14 da Resolução
Para os agentes será concedido prazo em dobro:
- no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais
- na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica
- no fornecimento de declaração clara e completa
- em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Os prazos não dispostos neste regulamento para os agentes serão determinados por regulamentação específica.
Ademais, os agentes podem fornecer a declaração simplificada de que trata o art. 19, I, da LGPD no prazo de até quinze dias, contados da data do requerimento do titular.
6. Cumprimento da resolução – outra exceção
A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
7. Conclusão
A ANPD, por meio da Resolução CD/ANPD Nº 2/2022, regulamentou a flexibilização da LGPD para empresas de pequeno porte.
Contudo, como podemos observar no presente estudo, são vários critérios (e exceções) que devem ser respeitados para que uma empresa, de fato, possa se beneficiar da Resolução.
Aliás, olhando do ponto de vista das EPP’s, acreditamos que ainda é uma tarefa hercúlea compreender e aplicar a LGPD sem auxílio jurídico.
Por outro lado, deve ser também reconhecido o esforço da ANPD, notadamente na criação de conteúdos sobre os temas que envolvem a LGPD, como por exemplo a criação do Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte e a própria resolução objeto do presente estudo.
Entretanto, mesmo com elaboração dos regulamentos e conteúdos (que em regra, são complexos para o homem-médio), acreditamos que a ANPD deve atuar com maior foco nas EPP’s, especialmente para criar modelos simplificados que ajudem as empresas de pequeno porte aplicarem a LGPD dentro de seus orçamentos e de suas capacidades de conhecimento.
Visto que, conforme mencionado, adequar uma empresa à LGPD sem uma consultoria jurídica especializada, atualmente, é uma tarefa inalcançável para a grande maioria das EPP’s.
