LGPD: Desafios e Oportunidades para Pequenos Empreendedores

A Lei Geral de Proteção de Dados (LGPD) trouxe uma nova realidade para todas as empresas que tratam dados pessoais no Brasil. No entanto, para pequenos empreendedores, a adequação à legislação pode parecer um desafio complexo e custoso, especialmente devido à necessidade de implementar novos processos, garantir a segurança das informações, atender às exigências documentais e manter a conformidade contínua.

Além disso, a falta de recursos financeiros e de conhecimento técnico pode dificultar ainda mais esse processo, visto que uma adequação desta magnitude compete com outras ações que podem ser prioritárias e vitais para um negócio menor e muitas vezes em fase inicial.

Vale ressaltar que, segundo o Mapa de Empresa elaborado pelo MDIC, até agosto de 2023, o Brasil possuía aproximadamente 21,8 milhões de empresas ativas, das quais 93,7% são classificadas como microempresas ou empresas de pequeno porte. Isso indica que há cerca de 20,4 milhões de micro e pequenas empresas no país. E, ainda, no primeiro quadrimestre de 2024, foram abertas 1.456.958 novas empresas, representando um aumento de 26,5% em relação ao terceiro quadrimestre de 2023..

Papel da ANPD na Adequação à LGPD para Pequenos Empreendedores

A LGPD se aplica a qualquer empresa que colete, armazene ou processe dados pessoais, independentemente do seu porte, no entanto, para equilibrar a necessidade de proteção de dados à realidade dos pequenos empreendedores, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu regras mais flexíveis para esses negócios.

Dentre as flexibilizações, estão:

• Dispensa de um Encarregado de Dados (DPO):  A indicação de um Encarregado de Dados para pequenos empreendedores será considerada política de boas práticas e governança, não sendo obrigatória neste cenário; todavia, as pequenas empresas devem disponibilizar um canal de comunicação para atender aos titulares de dados.
• Registro simplificado das operações de tratamento: Pequenas empresas podem utilizar modelos simplificados para documentar as operações de tratamento de dados pessoais, conforme diretrizes da ANPD, que disponibiliza um modelo específico para esse fim. Diferentemente das grandes empresas, que precisam manter registros detalhados e robustos, pequenos empreendedores podem adotar um formato mais enxuto, com menor nível de complexidade. 
• Prazos diferenciados: A ANPD prevê prazos em dobro para pequenos empreendedores atenderem às suas solicitações e dos titulares de dados, conforme determinado na Resolução CD/ANPD nº 2, que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte. No caso de incidentes de segurança, enquanto empresas de grande porte devem comunicar a ANPD e os titulares de dados afetados em até 3 dias úteis, pequenos empreendedores têm até 6 dias úteis, conforme estabelecido pela Resolução CD/ANPD nº 15 que aprova o Regulamento de Comunicação de Incidente de Segurança. Já para o atendimento de petições dos titulares, empresas de grande porte possuem 15 dias úteis para responder a solicitações de confirmação de existência ou acesso a dados pessoais, enquanto pequenos empreendedores têm até 30 dias úteis. É importante ressaltar que, em relação aos demais direitos dos titulares, a ANPD ainda não regulamentou prazos específicos, permanecendo a exigência de resposta em um prazo razoável, conforme previsto na LGPD. 
• Flexibilização nas medidas de segurança: Não há exigência de implementação de medidas técnicas e administrativas complexas ou robustas. Essas medidas devem ser adotadas com base em requisitos mínimos de segurança da informação e nas boas práticas descritas no capítulo 3 do Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte. Além disso, devem considerar o nível de risco à privacidade dos titulares de dados e a realidade do pequeno empreendedor. No entanto, essas medidas mínimas representam um dilema, pois as boas práticas são dinâmicas e precisam ser ajustadas continuamente conforme os riscos de mercado, acompanhando novas ameaças e exigências que muitas vezes não podem ser simplificados.
• Redução de sanções: Pequenas empresas que adotarem boas práticas podem ter sanções atenuadas em caso de infrações.

Pequeno no Porte, Grande na Responsabilidade com os Dados 

A ANPD na Resolução CD/ANPD nº 2 que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte, considera nesse escopo as seguintes entidades: 

• Microempresas (ME) e Empresas de Pequeno Porte (EPP) conforme definido no Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte (Lei Complementar nº 123/2006). 
• Startups, segundo o Marco Legal das Startups (Lei Complementar nº 182/2021).
• Pessoas jurídicas de direito privado, incluindo organizações sem fins lucrativos, que tratam dados pessoais de maneira reduzida e compatível com sua estrutura e receita.

No entanto, empresas que realizam tratamento de alto risco para o titular dos dados, não podem ser beneficiadas pelas regras diferenciadas dispostas na Resolução CD/ANPD nº 2 que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte, mesmo que se enquadrem como agentes de tratamento de pequeno porte. O tratamento será considerado de alto risco quando atender simultaneamente a pelo menos um critério geral e um critério específico. 

Os critérios gerais incluem o tratamento de dados em larga escala ou que possam afetar significativamente os direitos e interesses dos titulares, no entanto, não há uma faixa numérica pré-determinada para o que seria um volume elevado de dados.

O critério de "larga escala" envolve uma análise do contexto, isso gera uma zona cinzenta na interpretação, já que o impacto do tratamento pode não estar apenas na quantidade, mas também na sensibilidade das informações e na categoria dos dados, como informações de menores de idade ou de indivíduos com mais de 60 anos, aos quais a LGPD tem critérios especiais para o tratamento.   

O que, em nossa opinião, devemos levar em consideração é que o tratamento em larga escala não pode ser caracterizado apenas por abranger um número “x” de titulares. O volume por si só não define o tratamento em larga escala, deve-se considerar diversos fatores, até mesmo a duração, a frequência e a extensão geográfica do tratamento realizado.

Pensemos em extensão geográfica, que se refere ao alcance territorial do tratamento de dados, ou seja, se os dados são processados em múltiplas localidades, incluindo diferentes países. Se uma empresa de pequeno porte no Brasil possui uma filial no exterior e compartilha dados pessoais de forma integrada entre as filiais, isso amplia o escopo geográfico do tratamento, logo, pode ser caracterizado como tratamento em larga escala devido à diversidade de legislações de proteção de dados e ao maior impacto que pode ter sobre os titulares.  

Desafios dos Pequenos Empreendedores 

A flexibilização das obrigações estabelecidas pela ANPD não exime os agentes de tratamento de pequeno porte de cumprirem as demais exigências da LGPD, incluindo as bases legais e os princípios, além de que para a ANPD, o porte ou tamanho de uma empresa não confere privilégios no que diz respeito à fiscalização e à aplicação das regras previstas na LGPD.

Um exemplo claro disso é a primeira multa aplicada pela ANPD, que foi direcionada a uma empresa de pequeno porte. Isso evidencia que, independentemente da dimensão da organização, todas estão sujeitas às mesmas obrigações legais e podem ser responsabilizadas pelo não cumprimento das normas de proteção de dados. 

Outra dificuldade que os pequenos empreendedores vêm enfrentando, mas que pode ser transformada em vantagem competitiva, é a crescente demanda por proteção de dados, que vai além da própria ANPD. As grandes empresas estão adotando estruturas robustas de governança em privacidade e proteção de dados, o que ocasiona na implementação de requisitos básicos de segurança da informação. Esses requisitos não se limitam às empresas, mas também se estendem aos seus parceiros, fornecedores e prestadores de serviços.

Dependendo dos dados pessoais compartilhados, essas empresas podem exigir medidas de segurança mais rigorosas dessas partes envolvidas e um agente de pequeno porte que tenha passado por um processo de adequação ganha pontos por se tornar um parceiro estratégico, agregando valor ao negócio. 

Então, apesar das flexibilizações, os pequenos empreendedores ainda podem enfrentar dificuldades para implementar medidas de proteção de dados, como a falta de conhecimento técnico sobre a LGPD e suas exigências, recursos financeiros, humanos e até de tempo limitados para investir em medidas técnicas e administrativas de segurança da informação ou até mesmo conseguir estabelecer contratos e políticas internas sem comprometer a operação do negócio.

Adequação não é custo, é investimento 

A LGPD representa um avanço na proteção de dados no Brasil, e as pequenas empresas não estão isentas de suas obrigações. Do ponto de vista das pequenas empresas, entendemos que compreender e aplicar a LGPD sem o suporte adequado de um especialista ainda é um grande desafio. No entanto, é importante reconhecer o esforço da ANPD, especialmente na elaboração de materiais educativos, como o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte e a Resolução CD/ANPD nº 2 que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte.

Tendo isso em vista, com planejamento, informação e o uso das flexibilizações previstas pela ANPD, é possível garantir conformidade sem comprometer o funcionamento do negócio. 

Dessa forma, a adequação à LGPD não deve ser vista apenas como um custo, mas como uma oportunidade para fortalecer a reputação da empresa e aumentar a confiança dos seus clientes.