A LGPD e a importância de se ter um DPO full time nas microempresas e empresas de pequeno porte

Introdução.

Vivemos numa sociedade da informação, na qual os dados pessoais adquirem uma extrema importância, inclusive em razão do valor econômico que pode lhes ser atribuído. Por essa razão, os dados pessoais devem atenção do Estado, e sua proteção, estabelecida em lei. Vem daí a promulgação da Lei Geral de Proteção de Dados (LGPD).

Dentre as figuras previstas na LGPD, destacaremos, nesse pequeno ensaio, o encarregado [também chamado de DPO por conta da legislação europeia], que exerce uma importante função dentro do sistema de proteção de dados pessoais.

I. O encarregado na LGPD.

O encarregado é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado não é considerado agente de tratamento, porque não lida diretamente com os dados, mas apenas assessora o controlador e o operador na relação entre estes, os titulares dos dados e a ANPD.

É conhecido também como DPO (Data Protection Officer), por conta da terminologia em inglês utilizada na GDPR, mas com este não se confunde. Embora a figura do encarregado tenha inspiração do DPO, as atribuições deles são diferentes.

As atribuições do encarregado estão previstas no art. 41 da LGPD, e são:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Pelo § 3º, a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, mas isso ainda não ocorreu, ou seja, nenhuma atribuição extra recai sobre o encarregado, além daquelas previstas na LGPD.

O Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado, publicado pela ANPD, trata do encarregado à seguinte forma:

6. ENCARREGADO

6.1 Definição legal

67. Conforme o artigo 41 da LGPD, o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais. O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD [art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais].

68. Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel.

69. Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

70. O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é importante que ambas estejam cientes da sua obrigação de indicar um encarregado de dados. A esse respeito, o art. 23, III, reforça a necessidade de um encarregado ser indicado por órgãos e entidades públicas.

71. A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

72. Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

73. Também é importante observar que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados. Ao contrário, considerando as boas práticas, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura.

74. Conquanto a LGPD não impeça que um mesmo encarregado atue em nome de diferentes organizações, é importante que ele seja capaz de realizar suas atribuições com eficiência. Assim, antes de indicar um encarregado, o controlador deve considerar se ele será mesmo capaz de atender às suas demandas e de outras organizações concomitantemente. A responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do controlador ou do operador de dados, conforme estabelece o art. 42 da LGPD.

75. De acordo com o § 2º do art. 41, o encarregado possui as seguintes atribuições: - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; - receber comunicações da autoridade nacional e adotar providências; - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

76. Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os detalhes de contato do encarregado de dados estejam facilmente acessíveis, nos termos do § 1º do art. 41 da LGPD: A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

77. Em alinhamento com o § 3º do art. 41, a ANPD poderá estabelecer normas complementares sobre a definição e atribuições do encarregado.

78. Ressalte-se que não há necessidade, tendo em vista a ausência de previsão legal ou regulamentar, de comunicação ou de registro da identidade e das informações de contato do encarregado perante a ANPD.

II. Microempresas e empesas de pequeno porte.

Através da Lei Complementar nº 123, de 14 de dezembro de 2006, foi introduzido no ordenamento jurídico pátrio o novo Estatuto da Microempresa e da Empresa de Pequeno Porte, em substituição ao anterior, que era de 1999.

Já há algum tempo o legislador pátrio tem produzido leis para regulamentar situações específicas. Assim, nos últimos anos vimos surgir leis que atendem a determinadas pessoas e/ou situações jurídicas, como o Código de Defesa do Consumidor, o Estatuto do Idoso, o Estatuto do Torcedor, o Estatuto da Criança e do Adolescente, que têm o objetivo específico de regular a situação de pessoas diferenciadas. A medida é salutar e vem ao encontro do espírito da nossa Constituição Federal.

Com relação específica à microempresas e empresas de pequeno porte, a CF1988, ao tratar da ordem econômica, assegura, no art. 170, IX, o tratamento favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras e que tenham sua sede e administração no País.

Nesse contexto, foi editada a Lei n. 9.841/1999, que tratava da microempresa e da empresa de pequeno porte, mas que foi revogada pela Lei Complementar n. 123/2006, que instituiu o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte (art. 1º).

Denomina-se estatuto, em linguagem técnica-jurídica, qualquer lei que disciplina direitos e deveres de uma específica categoria de determinadas pessoas. Assim, para que tal lei possa ser aplicada, é necessário estabelecer o que é microempresa e o que é empresa de pequeno porte. A definição é dada pelo art. 3º da Lei Complementar n. 123/2006, e tem relação direta com o faturamento da empresa: consideram-se microempresa ou empresa de pequeno porte a sociedade empresária, a sociedade simples ou o empresário individual, sendo que:

- Microempresa é a empresa que tem receita bruta anual igual ou inferior a R$ 240.000,00;

- Empresa de pequeno porte é a que tem receita bruta anual superior a R$ 240.000,00 e inferior ou igual a R$ 2.400.000,00.

Somente os empresários, as sociedades empresárias e as sociedades simples que se enquadrem em tais situações serão consideradas microempresa ou empresa de pequeno porte, conforme o caso, e poderão se valer das disposições constantes da Lei Complementar 123/06, em razão do princípio da especificidade, e de demais benefícios legais previstos em outras leis.

III. O DPO e as microempresas e empresas de pequeno porte.

A LGPD, no art. 41, § 3º, dispôs que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Essa questão foi tratada pela ANPD na Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que estabelece o regulamento para aplicação da LGPD a agentes de tratamento de dados de pequeno porte.

Para efeitos do regulamento, no art. 2º, são adotadas as seguintes definições:

i) agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

ii) microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;

iii) startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e

iv) zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Mas, pelo art. 3º, não poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que:

i) realizem tratamento de alto risco para os titulares: na forma do art. 4º, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

i.I) critérios gerais:

a) tratamento de dados pessoais em larga escala: que será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares: que será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

i.II) critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Ressalva-se, no entanto, a hipótese prevista no art. 8º: fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

ii) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou

iii) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.

Por força do art. 7º, é obrigação dos agentes de tratamento de pequeno porte disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio:

i) eletrônico;

ii) impresso; ou

iii) qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.

III. 1. Prazos diferenciados

O art. 14 do Regulamento assegura aos agentes de tratamento de pequeno porte o prazo em dobro:

i) no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;

ii) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;

iii) no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;

iv) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

III.2. Dispensa de indicação do DPO.

Com relação especifica ao Encarregado pelo Tratamento de Dados Pessoais, comumente chamado de DPO, o art. 11 prevê a dispensabilidade, ao dispor que os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD. Todavia, o agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.

Mas, apesar da dispensa, o § 2º do art. 11 reconhece que a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD.

É importante ressaltar que, apesar da dispensa ora apontada, é de suma importância que o agente de tratamento de pequeno porte tenha um DPO próprio, especialmente quem lide, normalmente, com dados pessoais. Havendo qualquer problema com os dados pessoais tratados, o agente deverá ter um DPO para se comunicar com o titular ou com a ANPD.

Conclusão.

A Lei Geral de Proteção de Dados (LGPD) veio para revolucionar a política de tratamento de dados no País, e vai afetar, praticamente, todas as atividades econômicas. Lidar com dados pessoais é, hoje, bastante comum, e é isso que justifica a necessidade de sua proteção.

Microempresas e empresas de pequeno porte também estão sujeitas às regras da LGPD, ou seja, à proteção dos dados pessoais por elas tratados. O que se ora estabelece são apenas alguns benefícios por conta de sua condição especial. Um desses benefícios é a dispensa da indicação do DPO.

Mas a dispensa é apenas da indicação. Não há a dispensa do DPO. Assim, havendo qualquer problema em relação aos dados tratados, a microempresa e a empresa de pequeno porte deverão contar com um DPO. Isso significa dizer que ela terá de contar com um profissional dessa área. É por essa razão que entendemos que tais empresas deverão contar com um DPO full time, ou seja, em tempo integral. Isso representará, a longo prazo, em uma sensível economia para elas.

---

Bibliografia

SALES, Fernando Augusto de Vita Borges.

2021. Manual da LGPD. Leme: JH Mizuno.

2022. Direito Digital e as relações privadas na internet. Leme: JH Mizuno.