A LGPD E SEUS IMPACTOS NAS PEQUENAS E MÉDIAS EMPRESAS

Que a Lei Geral de Proteção de Dados Pessoais (LGPD) já é uma realidade não pairam dúvidas.

No último dia 20/04/2022, a ANPD, autoridade nacional criada com foco em educar, fiscalizar e fazer cumprir o regramento de proteção e privacidade de dados pessoais no país, emitiu uma nota de esclarecimento, comunicando a instauração de processo administrativo de fiscalização com o objetivo de avaliar a adequação da Portaria RFB nº 167 de 14 de abril de 2022, que autoriza o Serpro (Serviço Federal de Processamento de Dados) a disponibilizar acesso, para terceiros, a dados e informações detidos pela Receita Federal do Brasil.

Estaríamos aqui diante de flagrante “comercialização de dados” em desconformidade com a legislação? Ainda não sabemos. Não por outra razão foi determinada a instauração do processo administrativo de fiscalização que apurará tal fato.

Certo é que a recente postura ativa da ANPD representa o início de uma nova era para a proteção de dados pessoais no Brasil, ainda mais quando se trata de apuração de suposta irregularidade cometida pelo próprio Poder Público. É de se imaginar, então, como a ANPD agirá contra supostos descumprimentos à LGPD quando praticados pela iniciativa privada.

Portanto, reitera-se que a adequação à LGPD já é uma realidade a ser considerada por todas as empresas brasileiras, inclusive as de pequeno e médio porte (PMEs), tendo em vista não somente as próprias exigências que as grandes empresas impõem sobre as empresas menores a fim de garantir a conformidade exigida em lei que determina a solidariedade entre controlador e operador, mas, principalmente, pelo fato de que as PMEs, na grande maioria das vezes, são o alvo perfeito de ataques cibernéticos.

Imagine uma PME operando dados pessoais de uma empresa de grande porte. Por óbvio, a grande empresa, no cumprimento de sua obrigação legal, exigirá que esta PME não somente adote medidas físicas, técnicas e organizacionais voltadas à garantia da privacidade e proteção de dados pessoais compartilhados com ela, mas, também, que comprove tais implementações, a fim de gerar segurança aos negócios jurídicos entre as empresas, como também de mitigar eventuais penalizações da própria ANPD quando de incidentes de segurança no ambiente da PME.

E, tratando-se de incidente de segurança, a pergunta correta não é “se vai ocorrer”, mas, sim, “quando ocorrerá”.

É uma exigência do mercado. Aquelas PMEs que não aderirem com afinco à proteção de dados pessoais, não adequando-se às exigências da lei, estarão fadadas, em curto período, a uma drástica redução no volume de seus negócios, o que poderá representar até mesmo o seu fechamento.

Foi o que aconteceu na União Europeia (UE) com o advento do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), o tão falado GDPR, vigente desde 2018 e que inspirou a própria LGPD aqui no Brasil.

Em resumo, empresas da UE que desejam fazer negócios com empresas de fora da UE devem, obrigatoriamente, exigir destas a adequação e conformidade com a respectiva legislação de proteção de dados pessoais de seus países, sem a qual não se recomenda a realização de negócios, tendo em vista a insegurança no processamento de dados pessoais do cidadão europeu em territórios com frágil nível de maturidade legal e regulatória. É o que tem sido exigido no Brasil.

Portanto, para as PMEs, os impactos com a LGPD são significativos e devem ser levados muito a sério pelos seus dirigentes, podendo, caso não o façam, representar o próprio encerramento do negócio.

As PMEs, dentre outras medidas, devem providenciar, de maneira imediata e por meio de consultorias especializadas, no mínimo:

• Registro de todos os tratamentos que envolvam dados pessoais, identificando categorias destes dados, categorias de titulares, tipos de tratamento, ativos, bases legais etc.
• Implementação de políticas de privacidade de dados pessoais e segurança da informação;
• Treinamento de seus colaboradores no sentido de reforçar a cultura interna de proteção de dados pessoais;
• Nomeação de um encarregado pelo tratamento de dados pessoais;
• Reforço do seu pilar de infraestrutura, maximizando seus controles de proteção.

Nessa linha, especificamente quanto às PMEs, alguns podem estar se perguntando: mas recentemente a ANPD não regulamentou o tema sobre a isenção de pequenas empresas no cumprimento da LGPD?

Não, a ANPD não isentou pequenas e médias empresas quanto à obrigação de adequação à LGPD. Muito pelo contrário. A ANPD aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, criando, assim, um tratamento jurídico diferenciado para aquelas empresas que se enquadrem no conceito de agente de pequeno porte nos termos da regulamentação.

Portanto, até mesmo para verificar se as PMEs podem ser beneficiárias de tal regime, necessário será realizar uma verificação preliminar (diagnóstico) através de uma consultoria especializada, a fim de confirmar o referido enquadramento.

Entretanto, isto é tema para um próximo artigo.