Resumo: O presente artigo relata o panorama da Lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD) e sobre a Medida Provisória nº 959, de 2020 que tinha a intenção de postergar sua vacância para 2021. O objetivo deste texto é elucidar a necessidade da regulamentação da proteção de dados no Brasil e como se dará a sua adequação pelas Micros, Pequenas e Médio Empresas, assim como as consequências jurídicas de possíveis vazamentos de dados pessoais por estas. Deu-se ênfase especial nos passos para adequação jurídica e das boas práticas de segurança da informação para as Pequenas e Médias Empresas, neste diploma legal, partindo das experiências na Europa com a Regulamento Geral sobre a Proteção de Dados – GDPR de 2016.
Palavras-chave: LGDP, GDPR, DPO, Encarregado de Dados, Controlador, Proteção de dados, Vazamento de dados, Dados Sensíveis, Modelo de Desenho de Privacidade.
Sumário: 1. Introdução. 1.1. Panorama da Lei Geral de Proteção de dados na era Covid-19. 1.2. Protelação da Lei Geral de proteção de dados. 2. A importância das PMEs para o Brasil. 2.1. Autoridade Nacional Proteção de Dados - ANPD. 3. Quais empresas precisam se adequar a LGPD e quais dados são elencados. 4. Quem pode tratar os dados das PMEs?. 4.1. As certificações de institutos internacionais para profissionais no Brasil. 5. Como adequar as PMEs a LGPD. 5.1. Boas Práticas de Proteção de dados na Europa. 5.1.1. Privacy by Design. 5.1.2. Privacy by Default. 5.1.3. Os princípios do Privacy by Design. 5.1.3.1. Proativo, não reativo. Prevenir, não remediar. 5.1.3.2. Privacidade por padrão. 5.1.3.3. Privacidade embutida no design. 5.1.3.4. Total funcionalidade. 5.1.3.5. Segurança ponta a ponta.. 5.1.3.6. Visibilidade e Transparência.. 5.1.3.7. Respeito pela privacidade do usuário.. 5.2. Ciclo de vida dos Dados na LGPD. 5.3. Semelhanças e diferenças entre LGPD X GDPR. 5.4. Documentos que devem ser criados como boas práticas de adequação a proteção da privacidade de dados. 6. Consequências jurídicas da não adequação da LGPD das PMEs. 7. Potencial aumento de demandas judiciais. 8. O que as PME’s devem fazer em caso de vazamento de dados. 9. Conclusão. 10. Referências bibliográficas
1. INTRODUÇÃO
É evidente como o universo digital vem, cada vez mais, influenciando o comportamento da sociedade e por mais abstrato que pareça, as empresas devem começar a considerá-lo como uma ferramenta que além de trazer praticidade requer cuidados. Nesse cenário de evolução tecnológica surge o Direito Digital, que conecta a ciência com o mundo jurídico para nortear empresas, profissionais e consumidores para mitigar incidentes e transmitir credibilidade em algo que ainda gera muita insegurança.
Outrossim, inspirada na General Data Protection Regulation - GDPR, a Lei Geral de Proteção de Dados - LGPD surge como resposta aos brasileiros e prevê obrigações sobre tratamentos de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica – seja qual for seu porte – de direito público ou privado, com o intuito de proteger direitos fundamentais de liberdade e de privacidade, atualizando conceitos que antes eram esparsos na legislação pátria ou eram interpretados de maneira análoga a outros institutos.
1.1. Panorama da Lei Geral de Proteção de dados na era Covid-19
O avanço jurídico com a criação da LGPD, a sanção parcial do presidente da República ao Projeto de Lei nº 1.179/20 – a qual dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado no período da pandemia da Covid-19 – posterga as sanções administrativas elencadas pela LGPDpara 2021, o que resulta em insegurança jurídica, posto que a lei entra em vigor sem a devida regulamentação da ANPD – Autoridade Nacional de Proteção de Dados.
1.2. Protelação da Lei Geral de proteção de dados
No último dia 26 de agosto de 2020, o Senado impõe uma derrota ao Governo de Jair Messias Bolsonaro, que havia defendido no Congresso sobre a postergação da eficácia da LGPD para maio de 2021. No primeiro momento, os líderes do Congresso acordaram o adiamento para 31 de dezembro de 2020, entretanto, no afligir das eleições municipais de 2020 e o acirramento da polarização política, a crise econômica e sanitária, cumuladas com a perda de popularidade do governo Bolsonaro, fez com que o Senado retomasse a discussão, sendo decisivo e não aceitando mais a postergação da LGPD para 2021, tampouco para dezembro de 2020. Por conseguinte, a MP/959 não foi convertida em lei, e a LGPD entrou em vigor no Brasil no último dia 18 de setembro de 2020. No dia 26 de agosto, foi publicado o Decreto nº 10.474/2020, que aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados – ANPD, remanejando e transformando cargos em comissão e funções de confiança, sem a prorrogação da LGPD, o que implica em uma derrota ao governo.
Em 15 de outubro de 2020, Bolsonaro nomeou cinco nomes para compor a Autoridade Nacional de Proteção de Dados – ANPD, sendo destes cinco, três militares e duas advogadas civilistas representando o Direito Privado, indicações contestadas por alguns setores em virtude dos currículos técnicos, porém militares na maioria dos membros, o que pode influenciar e tirar a autonomia que a Autoridade Nacional de Proteção de dados, tendo em vista que a composição é notoriamente ligada ao Presidente Jair Messias Bolsonaro.
Os impactos e incertezas econômicas geradas pela pandemia da Covid-19 nos processos de adequação são compartilhados por todo mundo. Na Califórnia, apesar da lei de proteção de dados já estar em vigor, a fiscalização – ou enforcement – ainda está suspensa e instituições de diversos setores já pressionam o governo para manter essa suspensão; uma tendência que estava sendo seguida pelo Brasil.
Ressalta-se que a alteração da regulamentação da LGPD, embora tardia e figurada apenas no campo teórico, inclui o Brasil no rol de países que têm legislação específica sobre privacidade de dados, cumprindo um dos requisitos para participar da Organização para a Cooperação e Desenvolvimento Econômico – OCDE. Portanto, faz-se necessária a ANPD para regulamentação da norma, evitando insegurança jurídica e prejudicialidade em casos específicos. Em um cenário que não se tenha a ANPD constituída, cabe as empresas tirar proveito deste "delayed enforcement" estabelecido com o suposto adiamento do órgão regulador e usar a hermenêutica para o que for mais conivente.
Ademais, será exigido da ANPD, do poder judiciário e dos controladores uma adaptação voltada não só para as práticas de privacidade relacionada à Tecnologia da Informação, mas também ao risco de judicialização de demandas em massa acerca do tema, transformando o judiciário em uma “indústria do dano moral”, com casos que poderiam ser solucionados extrajudicialmente com as empresas ou administrativamente com a ANPD. Vale ressaltar que consta em tramitação no congresso a PEC 17/20192 que visa fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Mais a mais, embora anseia-se que a partir de outubro de 2020, muitas empresas tenham recursos para os projetos de adequação à LGPD, fato é que, é difícil imaginar que os orçamentos sejam recuperados após a pandemia – ainda sem perspectiva de controle – e atinjam sua integralidade, o que mantém o Brasil em baixo nível de proteção se comparado aos padrões internacionais, dificultando o relacionamento com fornecedores de outros países.
Partindo deste cenário, trazemos à baila a necessidade de adequação das PME’s para a Lei geral de Proteção de Dados, para que acompanhem a competitividade do mercado, com práticas e ferramentas acessíveis que, sem comprometer o seu orçamento, tratando com seriedade a privacidade de dados.
Este artigo é norteado pelas orientações de boas práticas de proteção de dados à Europa, que teve a GDPR aprovada em 2016 e regulamentada em 2018, fomentando estudos e modelos de gestão de dados adequados à GDPR – Legislação que foi base para construção da nossa LGPD.
Explanaremos neste artigo como as PME’s podem se adequar à LGPD utilizando o modelo de desenho de privacidade da PhD Canadense Ann Cavoukian, modelo que se tornou referência para as empresas. Abordaremos também quais os documentos necessários para aplicação deste framework e as principais semelhanças e diferenças entre a GDPR e a LGPD.
2. A importância das PMEs para o Brasil
Em consonância com a Lei Complementar n° 123, de 14 de dezembro de 2006, conhecida como Lei Geral da Micro e Pequena Empresa, é considerada uma microempresa a sociedade empresária ou simples, a empresa individual de responsabilidade limitada e o empresário com receita bruta anual de R$360 mil reais. Quando a renda bruta anual for superior a este valor e inferior a R$ 3,6 milhões, a entidade será considerada uma pequena empresa.
De acordo com o Conselho Federal da Administração – CFA3, as micros e pequenas empresas têm um papel econômico fundamental no Brasil. Além de representarem a maioria de todos os negócios formais do país, são responsáveis por uma grande fatia do faturamento de todas as empresas brasileiras, contratando mais da metade da mão de obra formal. Segundo o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE), elas já são as principais geradoras de riqueza no país. As PME’s respondem por 53,4% do Produto Interno Bruto (PIB) do comércio e, na indústria e no setor de serviços, a participação delas também é relevante – 22,5% e 36,3%, respectivamente. Representam também 27% do PIB, 52% dos empregos com carteira assinada, 40% dos salários pagos, 8,9 milhões de microempresas. Ratificando a pesquisa divulgada pelo Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE), a participação das micro e pequenas empresas brasileiras somadas representam 27% de todo o Produto Interno Bruto (PIB) do Brasil. Ressalta-se que, se compararmos com números de décadas passadas, veremos que a participação das micro e pequenas empresas na economia brasileira cresce acentuadamente. Em 1985, representavam 21% do PIB. Já em 2001, 23,2%. Em termos de valores absolutos, de 2001 a 2011, o faturamento das micro e pequenas empresas saltou de R$ 144 bilhões para R$ 599 bilhões, em valores da época. Nesse sentindo, foi o fator decisivo para que este trabalho fosse recortado para PME’s. Se considerarmos a participação no mercado de trabalho, verificamos que as micro e pequenas empresas têm uma importância ainda maior na economia brasileira, posto que os salários pagos por elas respondem por 40% da massa salarial brasileira, como foi informado em pesquisa realizada pelo SEBRAE1 .
De acordo com o Luiz Barretto, presidente do Serviço Brasileiro de Apoio às Micro e Pequenas Empresas, em entrevista ao portal do SEBRAE4, o crescimento das micro e pequenas empresas na última década é motivado pelo melhor ambiente de negócios, como a criação dos Supersimples (que reduziu e unificou impostos para os pequenos negócios), o aumento da escolaridade dos brasileiros e o incremento do mercado consumidor na classe média. Além disso, ele considera que as pessoas estão abrindo pequenos negócios por acreditar no empreendedorismo, não apenas por falta de empregos, como antigamente.
“Esses três fatores têm motivado o brasileiro a empreender por oportunidade e não mais por necessidade. Antes as pessoas abriam um negócio próprio quando não encontravam emprego. Hoje, de sete a cada 10 pessoas iniciam um empreendimento por identificar uma demanda no mercado, o que gera empresas mais planejadas e com melhores chances de crescer”, avalia o presidente do Sebrae, Luiz Eduardo Pereira Barretto Filho.
De acordo com o levantamento do Sebrae, são mais de 8,9 milhões de micro e pequenas empresas no Brasil. O último levantamento do IBGE (Instituto Brasileiro de Geografia e Estatística) indicou que os pequenos negócios representam 99% dos estabelecimentos formais do país.
Em contrapartida ao crescimento informado em linhas volvidas, é inegável que os pequenos empreendimentos enfrentam dificuldade para se estabelecerem nos mercados nacionais, tendo em vista a competitividade causada pela livre concorrência da atividade empresarial. Por isso, na mesma base destes argumentos, devemos direcionar as nossas discussões sobre como promover a prosperidade empresarial, oferecendo aos microempresários e empresários de pequeno porte condições necessárias ao seu desenvolvimento, sem que desrespeitemos a liberdade em que a economia está pautada.
Atentos a esta realidade, devemos analisar um plano especial de adequação à LGPD para esta categoria que enfrentará dificuldades maiores se considerarmos somente o capital que dispõem, sendo necessário diretrizes que corrijam essa desvantagem econômica e que dê oportunidade de crescimento também as pequenas e médias empresas.
2.1. Autoridade Nacional de Proteção de Dados
A Autoridade Nacional de Proteção de Dados – ANPD, foi definitivamente criada após a sanção da MP 869/2018, convertida na Lei 13.853/2019. Em sinergia com a compreensão disposta no art. 5º, XIX, da LGPD, a Autoridade Nacional é o órgão da Administração Pública encarregado por zelar, implementar e fiscalizar o cumprimento da LGPD integralmente no Brasil. Entretanto, esse conceito não é suficiente para entender a extensão de sua atuação.
Há muitos questionamentos sobre qual é papel da ANPD, que no último dia 15 de outubro de 2020, teve cinco membros nomeados pelo Presidente Jair Messias Bolsonaro. Esses nomes foram submetidos a sabatina à Comissão de Infraestrutura do Senado, sendo todos foram aprovados por unanimidade. No entanto, as nomeações provocaram um desconforto em parte dos setores – majoritariamente opositores ao governo Bolsonaro – que defendem a ANPD funcionando. Isso porque, três nomeados são militares notoriamente ligados ao presidente, o que pode causar interferência e ferir a autonomia desejada, algo que já tem sido observado nas recentes crises envolvendo o presidente, como por exemplo a do o ex-Ministro de Segurança e a Polícia Federal, Sergio Moro.
É sabido que a regulamentação é essencial para a efetiva aplicação das normas de privacidade e proteção de dados, entretanto há de se ponderar se tais nomeações não comprometem a autonomia da Autoridade Nacional de Privacidade de Dados. Considerando que a LGPD é uma norma principiológica5, conforme seu artigo 6°, ou seja, uma norma que fixa preceitos gerais, com princípios a serem seguidos, um órgão que estabeleça bases e diretrizes gerais para o seu cumprimento, contribui para maior eficiência da sua implementação.
Com a ANPD atuante, além de fiscalização e aplicação de sanções, haverá regulamentações e procedimentos sobre proteção de dados pessoais e privacidade, para que os agentes de tratamento e os titulares de dados compreendam o alcance da norma.
Sua composição foi regulada pelo Decreto nº 10.474, de 26 de agosto 2020, que aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados, remanejando e transformando cargos em comissão e funções de confiança. Os cinco nomes nomeados pelo chefe de estado, foram sabatinados pela Comissão de Infraestrutura do Senado, conforme estabelece a nossa Constituição em seu artigo 52, que define as competências do Senado, reza-se:
“Art. 52. Compete privativamente ao Senado Federal - III - aprovar previamente, por voto secreto, após arguição pública, a escolha de - f) titulares de outros cargos que a lei determinar;”
Ressalta-se ainda que a criação da ANPD sinaliza aos países que também estão se adequando ao novo paradigma da privacidade de dados pessoais, que o Brasil está comprometido na adoção de medidas práticas, visando a proteção dos dados pessoais, o que pode contribuir para a segurança e crescimento das negociações internacionais em diversos segmentos.
Embora ainda exista uma visão que a ANPD atuará apenas como a “pardal”, aplicando multas milionárias aos agentes de tratamento, é necessário esclarecer que a sua atuação não será apenas direcionada às sanções. A ANPD terá competência normativa, deliberativa, fiscalizadora e sancionatória, tendo como principal função zelar pela proteção de dados pessoais.
O órgão será responsável pela elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, com a finalidade de nortear os agentes de tratamento para que atuem em conformidade com as normas. É importante, inclusive, que as empresas trabalhem consoante não só com as normas, mas em parceria ao órgão regulamentador, para que evitem a judicialização de demandas que podem ser solucionadas extrajudicialmente ou administrativamente.
Nesse sentido, as sanções devem ser vistas como a última opção, quando houver violação dolosa ou negligente. Em um primeiro momento, é essencial que haja mecanismos simplificados para registro de reclamações e estímulos para adoção de serviços que facilitem o controle pelo operador e pelo titular. Compete à ANPD promover aos interessados o conhecimento das normas, primando pela boa-fé e conscientizando de maneira simples, sobretudo as PME’s, com diálogo e cooperação, para que haja um maior engajamento no mercado e a lei não vire somente suprimento para a “indústria do dano moral”.
Há uma grande expectativa para que a ANPD seja um suporte àquelas empresas que estão no processo de adequação à lei. A lei dispõe que será assegurada a autonomia técnica e decisória à ANPD, características necessárias para uma legítima atuação, de forma a garantir tanto aos agentes de tratamento quantos aos titulares, decisões e orientações isentas a respeito dos impactos da norma.
Um dos pontos mais importantes além da atuação instrutiva, é o dever de atuação fiscalizatória, que terá grande impacto para a implementação da LGPD. A Autoridade Nacional será responsável por fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. Ressalta-se que a aplicação das sanções não será imediata, limitando-se à multa de R$50.000.000,00, mas podendo ser aplicadas advertências, com indicação de prazo para adoção de medidas corretivas e multas simples de até 2% do faturamento no seu último exercício, excluídos os tributos.
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os critérios da LGPD. Destaca-se que, da mesma forma que a ANPD observará as peculiaridades de cada caso, o processo de compliance à LGPD também deverá ser personalizado para cada empresa, não sendo possível uma receita genérica para todos os segmentos.
Em suma, o bem-estar da economia não pode sobrepujar as considerações de justiça. Portanto, precisamos nos perguntar em quais condições as pessoas são livres para fazer suas escolhas em vez de coagidas. Este é o cerne de que se trata a LGPD: a sociedade deve respeitar a liberdade individual, inclusive de suas escolhas econômicas. Este é o foco que norteará a ANPD. Da mesma forma, a Autoridade Nacional não pode tornar-se “vilã” das empresas, propiciando uma boa relação, sobretudo educacional para que disponhamos de padrões e técnicas que deem a verdadeira aplicabilidade e eficácia que se espera com a lei.