A necessidade de adequação do Pequeno Empreendedor à Lei Geral de Proteção de Dados Pessoais

Se você acompanha nossas publicações, já sabe no que consiste a Lei Geral de Proteção de Dados e que em 1º de agosto deste ano entraram em vigor as sanções por infrações ao quanto previsto em relação ao regime de tratamento de dados pessoais e sensíveis para fins de proteção ao direito fundamental à privacidade.

Quando se fala em conduta em relação à coleta de dados, adequação à legislação, mapeamento, análise, diagnóstico, planejamento e implementação de todas as práticas necessárias para proteção dos dados, a impressão inicial que se se tem é de que tais condutas são aplicáveis unicamente a empresas com uma estrutura mais complexa, um maior porte.

Porém, a leitura do artigo 1º da Lei 13.709/18, deixa bastante claro que a mesma se aplica tanto às pessoas jurídicas de direito público e privado, quanto às pessoas naturais. Ou seja, a necessidade de adequação e as sanções incidem sobre qualquer pessoa que colete dados de terceiros, sendo que, em relação às pessoas naturais, a lei não se aplica ao tratamento de dados pessoais captados com fins exclusivamente particulares e não econômicos. No artigo 4º da Lei encontram-se ainda outras hipóteses de inaplicabilidade, as quais não serão abordadas aqui.

Note-se que não estamos falando apenas em dados de clientes, mas também dados coletados na esfera das relações trabalhistas, inclusive de empregados domésticos e mesmo de fornecedores. A esfera das relações através das quais os dados protegidos pela LGPD são obtidos, deixa claro que, sim, a LGPD também aplica-se aos pequenos negócios, tanto é que em 04 de outubro de 2021 a Autoridade Nacional de Proteção de Dados (ANPD) lançou o guia orientativo de segurança da informação direcionado aos agentes de tratamento de pequeno porte.

A ANPD também submeteu à consulta pública, encerrada em 14 de outubro de 2021, Resolução relativa à regulamentação da LGPD para “microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos”. A origem da regulamentação diferenciada é resultado de um entendimento de que “a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento das microempresas e empresas de pequeno porte e, consequentemente, o desenvolvimento do país”. Oportunamente divulgaremos eventuais desdobramentos dessa consulta.

Embora busque-se a facilitação da adequação dessas empresas à LGPD, não se descuida do direito fundamental que o titular de dados tem à sua proteção e nem desobriga que o tratamento de dados observe a boa fé e os princípios contidos no artigo 6º da Lei 13.709/18.

É evidente, entretanto, que os procedimentos necessários para diagnóstico e adequação à legislação, serão menos complexos, a depender da estrutura em que estiver inserida a informação a ser protegida, sendo possível e indicado a todos, independentemente do porte da empresa ou pessoa natural inserida no contexto legal, sua realização, tanto que o artigo 14 da Resolução objeto de consulta pública reitera a obrigação da adoção de medidas administrativas e técnicas essenciais e necessárias para a proteção de dados, considerando o nível de risco à privacidade dos titulares dos dados e da realidade do agente de tratamento.

Lembrando sempre que a coleta de dados não está proibida, mas busca o consentimento dos titulares à informação, de modo que tenham o conhecimento sobre a forma como seus dados serão utilizados. Busca também aplicar mecanismos de tratamento capazes de oferecer a adequada privacidade em relação àqueles cuja autorização de disponibilização não se disponha, de uma forma que sejam evitadas as aplicações das sanções previstas na Lei específica, bem como demandas para indenização por danos morais ou materiais geradas pela ausência do tratamento adequado aos dados.

Por fim vale ressaltar que, tão importante quanto a adequação à Lei, é ter meios de comprová-la, devido ao ônus que é atribuído ao controlador dos dados em relação à prova do seu adequado tratamento.

Adv. Débora Rohden