DPO para pequenas empresas: é obrigatório nomear um encarregado?
A proteção de dados pessoais tornou-se uma preocupação crítica nos dias de hoje, e as pequenas empresas não estão isentas dessa responsabilidade. Uma das questões cruciais que as pequenas empresas enfrentam é a obrigação da nomeação de um Data Protection Officer (DPO).
Neste artigo, exploraremos a necessidade de um DPO para pequenas empresas, examinando os requisitos legais, as vantagens e desvantagens de nomear um DPO e as alternativas disponíveis para garantir a conformidade com a Lei Geral de Proteção de Dados.
Qual o papel do DPO segundo a LGPD?
A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes rigorosas para a proteção dos dados pessoais dos cidadãos, o que inclui a obrigatoriedade de as organizações nomearem um encarregado de proteção de dados pessoais (Data Protection Officer – DPO): “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (art. 5º, VIII, da Lei).
Além de prestar comunicações como canal oficial com os titulares de dados pessoais e a ANPD, as obrigações de um encarregado de proteção de dados pessoais também incluem:
1. Orientar os funcionários e contratados da organização sobre as melhores práticas em relação à proteção de dados pessoais;
2. Aconselhamento consistente na emissão de pareceres, opiniões legais e outros instrumentos jurídicos relativos às atividades de tratamento de dados pessoais;
3. Realização de treinamentos, palestras, workshops e reuniões com funcionários-chave e colaboradores envolvidos na gestão de dados, informações, produtos e serviços;
4. Implementação de um programa contínuo de conscientização para garantir que todos os membros da organização estejam cientes e alinhados com os deveres estabelecidos pela LGPD e normas específicas da empresa;
5. Auxiliar na realização de auditorias periódicas, oferecendo conhecimentos técnicos e informações necessárias sobre as exigências apresentadas pela LGPD;
6. Criação de materiais informativos, a realização de sessões de esclarecimento e a resposta a dúvidas dos titulares de dados pessoais.
Essas atribuições se convergem na promoção de uma cultura de privacidade dentro das organizações e na garantia que os direitos dos titulares de dados sejam respeitados, fortalecendo assim a segurança e a conformidade com a LGPD.
Primeira multa da ANPD
Na primeira semana de julho de 2023, testemunhamos a aplicação da primeira multa pela Autoridade Nacional de Proteção de Dados (ANPD), um evento esperado com grande expectativa por especialistas e empresas.
Surpreendentemente, a primeira sanção não atingiu as grandes multinacionais de tecnologia, empresas de internet, telefonia ou o setor financeiro, como amplamente especulado. Em vez disso, a sanção recaiu sobre um agente de pequeno porte. Isso destaca a relevância da conformidade com a LGPD para organizações de todos os tamanhos, não se limitando apenas às maiores do mercado.
O caso em questão envolve uma microempresa que atua no setor privado como provedora de serviços de telefonia. A empresa ofereceu uma lista de contatos de WhatsApp de eleitores aos candidatos das eleições municipais de Ubatuba/SP, visando à disseminação de material de campanha eleitoral.
A intervenção da ANPD ocorreu em resposta a um ofício do Ministério Público de São Paulo, representado pela Promotoria de Justiça de Ubatuba, destacando a disseminação da preocupação com a proteção de dados pessoais em várias esferas fiscalizatórias pelo país. Este caso serve como um alerta sobre a importância da conformidade com a LGPD, independentemente do tamanho ou natureza da organização.
As pequenas empresas são obrigadas a adequar à LGPD?
No entanto, a questão que permanece é se as pequenas empresas são obrigadas a cumprir as regulamentações da LGPD (Lei Geral de Proteção de Dados).
Em regra, sim. No entanto a ANPD tomou como prioridade em sua agenda a regulamentação da aplicação da LGPD para agentes de tratamento de pequeno porte. Assim, em janeiro de 2022, a ANPD emitiu uma Resolução (CD ANPD nº 2/2022) que se concentra na adaptação das regras da LGPD para microempresas, empresas de pequeno porte e startups no Brasil.
Essa normativa busca apresentar a possibilidade de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade desse grupo à LGPD e contribuindo para a disseminação da cultura de proteção de dados pessoais.
O que é um Agentes de Tratamento de Dados de Pequeno Porte?
Sob o guarda-chuva da regulamentação, o termo “Agentes de Tratamento de Pequeno Porte” abrange uma variedade de entidades que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, incluindo:
1. Microempresas;
2. Empresas de pequeno porte;
3. Startups;
4. Pessoas jurídicas de direito privado (mesmo aquelas sem fins lucrativos); e
5. Pessoas naturais e entes privados despersonalizados.
O que será considerado microempresa, empresas de pequeno porte ou Startup?
Dentro deste universo são consideradas microempresas ou empresas de pequeno porte organizações que se enquadram nos parâmetros estabelecidos pela Lei nº 14.195/21. Incluem sociedades empresárias, sociedades simples e sociedades limitadas unipessoais. Além disso, o termo abrange o empresário individual mencionado no artigo 966 do Código Civil.
Para serem classificadas como startups à luz da legislação brasileira, as empresas devem atender a critérios específicos delineados no Capítulo II da LC nº 182/21. O elemento distintivo aqui é a ênfase na inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que as torna uma parte vibrante e crucial do panorama empresarial contemporâneo.
Em seu artigo 4º, a LC nº 182/2021 estabelece critérios importantes para o enquadramento como “startup” refere-se a empresas que estão em seus estágios iniciais ou têm uma operação recente e que se destacam por aplicar inovação em seus modelos de negócios, produtos ou serviços. Essas organizações devem atender a três requisitos principais:
Receita Bruta: A receita bruta anual da organização não deve exceder R$ 16.000.000,00 no ano anterior ou R$ 1.333.334,00 multiplicados pelo número de meses de atividade no ano anterior, caso a organização tenha operado por menos de 12 meses. Isso significa que as startups podem ser empresas de pequeno a médio porte em termos de faturamento.
Tempo de Existência: As startups devem ter até 10 anos de inscrição no Cadastro Nacional da Pessoa Jurídica (CNPJ) da Receita Federal. Isso destaca o foco nas empresas mais jovens e inovadoras.
Inovação: As organizações devem atender a pelo menos um dos requisitos a seguir:
a) Declarar em seu documento de constituição ou alteração de contrato a utilização de modelos de negócios inovadores para a geração de produtos ou serviços, conforme definido no inciso IV do artigo 2º da Lei nº 10.973/2004.
b) Estar enquadradas no regime especial “Inova Simples”, destacando seu compromisso com a inovação e simplificação tributária.
Em suma, microempresa, empresas de pequeno porte e startups possuem alguns benefícios e regras facilitadas para o registro das operações de tratamento de dados pessoais; nas comunicações dos incidentes de segurança; na aplicação de medidas de segurança e de boas práticas, bem como possuem prazos diferenciados em processos fiscalizatórios da ANPD.
É importante ressaltar que não estão elegíveis às regras especiais as empresas com receita bruta superior aos limites previstos na LC 123/06 ou na LC 182/21, assim como aquelas que pertencem a um grupo econômico com receita global superior à prevista no limite dessas leis.
Além disso, não basta se enquadrar nesse rol de agentes de tratamentos de Pequeno Porte para estar sujeito às regras simplificadas. A resolução também estabelece que as empresas que lidam com operações de alto risco para os titulares de dados não se beneficiarão das regras especiais.
O que são operações de alto risco para os titulares de dados ?
Os critérios para o enquadramento das empresas como atividade ligada a operações de alto risco inclui:
Critérios Gerais
Tratamento de Dados em Larga Escala: Isso se refere a situações em que o tratamento de dados abrange um número considerável de titulares. Além disso, leva em consideração o volume de dados envolvidos, a duração do tratamento, a frequência das operações e a extensão geográfica das atividades de processamento.
Tratamento que Afeta Direitos Fundamentais: Isso engloba atividades de processamento que têm o potencial de prejudicar o exercício dos direitos dos titulares de dados ou de afetar significativamente seu acesso a serviços. Isso pode incluir danos materiais ou morais, como discriminação, violações à integridade física, direitos à imagem e reputação, fraudes financeiras ou roubo de identidade.
Critérios Específicos
Uso de Tecnologias Emergentes ou Inovadoras: Isso abrange situações em que o tratamento de dados faz uso de tecnologias emergentes ou inovadoras, como Inteligência Artificial (IA), Internet das Coisas (IoT), Blockchain, entre outras.
Vigilância ou Controle de Zonas Acessíveis ao Público: Quando uma empresa utiliza câmeras de monitoramento para vigilância de áreas acessíveis ao público em geral, essa atividade é considerada de alto risco.
Decisões Baseadas em Tratamento Automatizado de Dados: Isso se refere a decisões que são tomadas exclusivamente com base em processamento automatizado de dados pessoais. Isso inclui decisões que visam determinar o perfil pessoal, profissional, de saúde, de consumo, de crédito ou outros aspectos da personalidade do titular de dados.
Uso de Dados Sensíveis ou Dados de Grupos Vulneráveis: Quando o tratamento envolve dados pessoais sensíveis, bem como informações de crianças, adolescentes ou idosos, isso é considerado de alto risco devido à natureza sensível desses dados e à necessidade de proteger os grupos vulneráveis.
Esses critérios ajudam a identificar atividades de tratamento de dados que requerem uma atenção especial em termos de conformidade com a LGPD e medidas adicionais de proteção de dados. É fundamental que as organizações estejam cientes desses critérios e tomem as medidas apropriadas para garantir a segurança e a privacidade dos dados pessoais que processam.
Mas afinal, é obrigatório que Agentes de Tratamento de Pequeno Porte sujeitos às regras especiais realizem a nomeação do Encarregado de Proteção de Dados (DPO)?
É obrigatório a nomeação do encarregado DPO para pequenas empresas?
No parágrafo §3º do art. 41 da LGPD está estabelecido o seguinte: “A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”
Conforme estipulado no art. 11 da Resolução CD/ANPD 2, os agentes de tratamento de pequeno porte que estão enquadrados nos requisitos mencionados não são obrigados a indicar um encarregado pelo tratamento de dados pessoais, o que representa uma simplificação significativa em comparação com empresas de maior porte. No entanto, é obrigatório que esses agentes instituam um canal de comunicação com o titular de dados e uma política de boas práticas e governança:
Canal de Comunicação com o Titular dos Dados
Mesmo quando não é necessário nomear um encarregado, os agentes de tratamento de pequeno porte devem garantir a disponibilidade de um canal de comunicação com o titular dos dados. Essa medida visa garantir que os direitos dos titulares, conforme estabelecidos no Artigo 41, § 2º, I da LGPD, sejam adequadamente atendidos e respeitados.
Política de Boas Práticas e Governança
É importante observar que a indicação de um encarregado pelo tratamento de dados pessoais, mesmo que não seja obrigatória, é considerada uma política de boas práticas e governança de acordo com a LGPD. Isso significa que, embora não seja uma exigência legal, a nomeação de um encarregado pode ser vista como uma medida responsável e alinhada com os princípios de proteção de dados.
Apesar das flexibilizações introduzidas pela Resolução CD/ANPD 2, a importância da comunicação com os titulares dos dados e a adoção de práticas responsáveis de governança permanecem fundamentais para garantir a proteção eficaz dos dados pessoais e o cumprimento dos direitos dos indivíduos.
Conclusão: rumo à Conformidade LGPD para pequenas empresas
Apesar das condições especiais para Agentes de Tratamento de Pequeno Porte e uma eventual hipótese de dispensa do DPO para pequenas empresas, ter um Programa de Privacidade não é apenas uma obrigação legal, mas também uma oportunidade de demonstrar transparência e responsabilidade na proteção dos dados pessoais. É uma maneira de ganhar a confiança dos titulares de dados e fortalecer parcerias de negócios em um mundo cada vez mais sensível à privacidade.
Ao escolher um parceiro experiente e dedicado, que oferece soluções práticas e sob medida para empresas de pequeno porte, você e sua empresa terão a oportunidade de prosperar em um ambiente cada vez mais regulamentado e focado na proteção de dados pessoais. A conformidade não precisa ser uma barreira, mas sim uma oportunidade para fortalecer sua organização e atender às expectativas crescentes de clientes, parceiros de negócios e investidores em relação à privacidade e segurança dos dados.
Uma consultoria jurídica especializada fornecerá orientações, ajudará na implementação das regulamentações e na elaboração de políticas internas em conformidade com a legislação. O escritório Camargo & Vieira possui uma solução específica de adequação à LGPD para pequenas empresas com profissionais capacitados e atualizados, prontos para auxiliar na adaptação às novas regras, implementação de políticas e prevenção de infrações legais.