GUSTAVO ANTÔNIO NELSON BALDAN
(orientador)
RESUMO: O presente artigo visa apresentar as atualizações da LGPD no Brasil, bem como apresentar quais são as dificuldades que estão sendo enfrentadas, desde a sua vigência para as adequações das empresas. Utilizando a metodologia na forma bibliográfica, que se fundamenta em materiais já publicados em livros, artigos, sites, jornais e revistas acerca do assunto. Objetivando que o leitor alcance clareza e segurança diante de todo o exposto e atue estritamente no cumprimento da Lei Geral de Proteção de Dados, afastando-se da possibilidade de penalidades.
Palavras-chave: LGPD; Segurança; Lei; Empresas; ANPD.
ABSTRACT: This article aims to present the updates of the LGPD in Brazil, as well as to present the difficulties that are being faced, since its validity for the adaptations of the companies. Using the methodology in the bibliographic form, which is based on materials already published in books, articles, websites, newspapers and magazines on the subject. Aiming for the reader to reach clarity and security in the face of all the above and act strictly in compliance with the General Data Protection Law, moving away from the possibility of penalties.
Palavras-chave: LGPD; Security; Law; Companies; ANPD.
Com o aumento da população, temos como consequência o crescimento Tecnológico no qual a sociedade vivencia, não havendo dúvidas em dizer que é possível manter a proximidade entre pessoas distantes, tudo em razão da Internet e dos novos meios de comunicação, levando em conta infinitas trocas de informações e possibilitando o contato entre pessoas de diferentes partes do mundo.
O Avanço Tecnológico é considerado também, como a Quarta Revolução Industrial, a partir da inteligência artificial e da robótica, por se tratar da análise massiva de dados (“big data”), bem como, a importância e valor de que todos os dados pessoais constituem.
Partindo desta premissa, as informações enviadas na internet, são transformadas em dados, processados e valorados economicamente, sendo considerado o principal ativo da sociedade contemporânea e equiparados ao petróleo de outros tempos. Com isso, afirma-se que a economia é dirigida por dados (“data driven economy”).
Assim, as informações, o perfil de consumo dos usuários e os dados pessoais, se tornaram produtos essenciais para fomentar a economia global, uma vez que essa nova matéria-prima permite a obtenção de um resultado satisfatório e eficaz na atuação governamental e empresarial, ante a facilidade de obtenção das informações disponibilizadas na internet (FRAZÃO; TEPEDINO; OLIVA, 2020).
Não obstante, a coleta e acesso a dados pessoais por parte das empresas, originou uma problemática relativa à salvaguarda do direito à privacidade, cujo exercício se viu ameaçado diante de tamanha e desmesurada exposição. Em face disso e com o intuito de tutela de direito tão íntimo, a proteção de dados pessoais, hoje, é considerada direito fundamental (LOPES, 2020).
Constatando-se a necessidade de preservar tais direitos em território brasileiro e, buscando inovações no mundo jurídico a garantir segurança do ambiente virtual concomitantemente com ambiente real, foi promulgada a Lei nº 13.709/2018, conhecida como a Lei Geral de Proteção de Dados, para proteger direitos fundamentais como privacidade, liberdade e desenvolvimento de serem feridos por outras pessoas naturais ou jurídicas.
O presente trabalho Científico suceder-se-á desenvolvido na forma de monografia Jurídica e visa uma análise pormenorizada, ainda que de forma breve das normativas aplicadas a sociedade atual, em decorrência da Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados, bem como as modificações que sucederam, pontuando o que o é a LGPD e sua relevância.
Utilizando-se uma metodologia bibliográfica, que se baseia em materiais publicados em artigos, sites, textos de leis, livros, jornais e revistas acerca do assunto. Outrossim, o uso de jurisprudência, doutrinas e narrativas se evidenciam pelo modo bibliográfico. É almejado que o leitor alcance clareza e segurança diante de todo o exposto.
Nessa assertiva, as pequenas empresas devem efetivar as adequações e estarem em conformidade com a LGPD, para não sofrerem qualquer tipo de sanção por parte dos órgãos responsáveis, sendo necessário modificar seus hábitos e culturas, enquadrando-se nas normas exigidas.
A princípio precisamos destacar alguns pontos sobre a Lei Geral de Proteção de Dados Pessoais a fim de garantir o melhor entendimento sobre suas terminologias.
Publicada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD), trata da proteção aos dados coletados ou processados de alguma forma, com o intuito de resguardar a privacidade dos cidadãos e oferecer respaldo a ofensa dos direitos fundamentais, objetivando o equilíbrio entre o avanço das tecnologias e a globalização, conforme bem conceitua Rafael Fernandes na sua obra “Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais”, a LGPD:
dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade natural, inclusive por meio digital (FERNANDEZ, 2020, p. 17).
Nesse sentido, podemos consentir com Cots e Oliveira, que também pontua o objetivo da Lei e identifica a vulnerabilidade das pessoas quanto ao tratamento de tais dados (2019, p. 48):
O objetivo da LGPD é o de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade natural”. O verbo “proteger” diz muito sobre a forma como o legislador enxergou o titular dos dados, ou seja, em posição desigual em relação aos responsáveis pelo tratamento de dados, ficando patente sua vulnerabilidade.
A LGPD traz de forma expressa seus fundamentos, a fim de garantir a devida utilização dos dados pessoais, através de seu Artigo 2º:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Nesse diapasão, evidencia-se que os fundamentos da LGPD estão ligados diretamente com a carta magna de 1988, através de seu texto, como podemos citar: artigo 3º, I e II; artigo 4º, II; artigo 5º, X e XII; artigo 7º, XXVII e artigo 219. Deixando claro que a LGPD tem como base os Direitos Fundamentais, a liberdade, segurança, justiça das pessoas, proteção e garantia à privacidade, respaldado aos direitos individuais, objetivando a segurança jurídica no Brasil.
No âmbito da LGPD, ressalta-se outro ponto importante que é a conceituação de algumas expressões, tais quais: pessoa natural, pessoa jurídica, dados pessoais, titular dos dados, tratamento dos dados, banco de dados, controlador e operador.
A Pessoa Natural ou também chamada de Pessoa Física, é o ser humano dotado de capacidade plena ou não, podendo ser caracterizado pela LGPD como: titular dos dados pessoais, ou, até mesmo, controladora ou operadora dos dados.
Já a Pessoa Jurídica se diz respeito, a uma entidade que a lei atribui personalidade jurídica, sujeita a direitos e deveres (obrigações), tendo como principal característica a de atuar na vida jurídica, com personalidade distinta dos indivíduos que fazem parte dela.
Os Dados Pessoais são as informações relativas à pessoa, que permitem sua identificação, ou, como consta da LGPD “informação relacionada à pessoa natural identificada ou identificável”. Em relação ao tratamento dos dados, é toda e qualquer operação realizada com dados pessoais, como, por exemplo ressalta a LGPD: coleta, recepção, produção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O banco de dados é uma ferramenta que possibilita a sistematização de volumes de informações, armazenados em um ou vários locais, que podem ser gigantescos, e que atualmente teve seu potencial exponencialmente incrementado com o advento da informação.
Para Silberschatz (2006, p.1):
Um sistema de banco de dados (DBMS) é uma coleção de dados inter-relacionados e um conjunto de programas para acessar esses dados. A coleção de dados, normalmente chamada de banco de dados, contém informações relevantes a uma empresa.
O Controlador é considerado como uma pessoa natural ou jurídica, de direito público e privado, a quem competem as decisões referentes ao tratamento dos dados pessoais. Já o Operador, que também é chamado de processador, é denominado pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento, conforme bem pontua Pinheiro (2020, p.97):
O operador é o agente responsável por realizar qualquer tratamento de informações, agindo sob o comando do controlador, podendo ser um colaborador do estabelecimento comercial ou uma empresa terceirizada. Nas hipóteses de vazamento de informações, a LGPD prevê que tanto o controlador quanto o operador poderão ser responsabilizados, desde que não tenham cumprido com as medidas previstas na Lei Geral de Proteção de Dados.
Notório se faz também, demonstrar um dos princípios expresso na LGPD, que se refere a responsabilização e prestação de contas, previsto no inciso X, do artigo 6º, da LGPD. O mesmo estabelece que, os agentes que manuseiam os dados pessoais para a realização de seu tratamento devem atestar sua boa-fé e diligência, pois, é dever do agente demonstrar que adotou as medidas necessárias, bem como, sua eficácia, para comprovar a observância e o cumprimento das normas de proteção de dados pessoais ao longo do tratamento.
É decorrente desse princípio que a Autoridade Nacional de Proteção de Dados adquire especial magnitude, pois se trata do órgão da administração pública responsável exatamente por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território brasileiro, nos termos do seu artigo 5º, inciso XIX.
Nesse sentido, podemos consentir com Frazão, Tepedino e Olivia (2020):
A alteração mais importante proporcionada pela Lei n° 13.853/2019, foi a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal que integra a Presidência da República, responsável por editar e fiscalizar a aplicação da Lei Geral de Proteção de Dados, possuindo caráter imprescindível para garantir a efetividade dessa legislação.
3 RESOLUÇÃO CD/ANPD Nº 2/2022
Com a finalidade de assegurar a aplicação da LGPD, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, composta pelo Conselho Diretor, Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, Procuradoria e unidades administrativas, que fiscaliza a observância da norma, com possível aplicação de sanções administrativas, e fica incumbida de promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança.
No seu texto de Lei, a LGPD definiu as competências que foram atribuídas a ANPD, elencadas exaustivamente no rol do artigo 55-J, incluído pela Lei nº 13.853 de 2019, contendo de forma expressa, 24 competências, que no geral se referem: ao zelo pela proteção de dados pessoais; fiscalização e aplicação de sanções; deliberação sobre a interpretação da LGPD; apreciação de petições de titulares de dados; conscientização da população; elaboração de estudos na área de privacidade; edição de normas, procedimentos e orientações diferenciados a micro e pequenas empresas, incluindo startups.
Com enfoque nas pequenas empresas, destaca-se a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que tem por objetivo regulamentar a aplicação da Lei nº 13.709, de 14 de agosto de 2018 (LGPD), para agentes de tratamentos de pequeno porte, com base nas competências previstas no artigo 55-J, inciso XVIII, da referida Lei.
O principal objetivo é proporcionar uma maior facilidade de adequação as microempresas, empresas de pequeno porte, startups e empresas de inovação, nas normas previstas na LGPD, sendo necessário adaptar as diretrizes da Lei, considerando as realidades dos agentes de tratamento de pequeno porte, oferecendo soluções específicas e esclarecimentos sobre esses agentes e suas operações.
3.1 Agentes de Tratamento de Pequeno Porte
No que tange a esse tema, importante destacar a primeira parcela dos destinatários que a Resolução se direciona, formadas pelas micro e pequenas empresas, que subdividem em: sociedade empresária, sociedade simples ou microempreendedor individual, devidamente registrados no órgão competente.
Não obstante, as startups também compõem uma das parcelas que a Resolução abrange, uma vez que, são enquadradas como organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios, produtos ou serviços ofertados.
Além disso, as associações, entidades religiosas, consideradas pessoas físicas de direito privado sem fins lucrativos, também são beneficiadas. Decorrente disso, as pessoas naturais e os entes despersonalizados, como por exemplo, condomínios, não poderiam ficar de fora, apesar de em alguns casos gerar inúmeras discussões.
Ademais, as empresas de pequeno porte precisam se atentar para algumas exceções, caso faça parte, não poderão se beneficiar do tratamento jurídico diferenciado que a ANPD oferece, tais exceções estão estabelecidas no art. 3º da Resolução, quais sejam: agente de pequeno porte que realizam tratamento de alto risco para os titulares; caso sua receita bruta ultrapasse o limite estabelecido, ou seja, R$ 4.800.000,00 (quatro milhões e oitocentos mil reais); em relação as startups, caso a receita bruta ultrapasse o limite de R$ 16.000.000,00 (dezesseis milhões de reais), bem como, as microempresas que ultrapassarem a receita bruta de R$ 360.000,00 (trezentos e sessenta mil reais), no ano-calendário anterior.
O Regulamento definiu alguns critérios para identificar as situações que o tratamento dos dados pessoais pode trazer riscos para os seus titulares, ficando assim, denominado como “tratamento de alto risco para os titulares”, esses critérios são identificados como geral e específico, sendo que a cumulação de um critério geral com mais um critério específico, já se caracteriza como um tratamento de alto risco.
Como critérios gerais são apontados as empresas cujo o tratamento de dados pessoais é de larga escala, com alto volume de dados, a extensão geográfica alcançada que contenha dados pessoais que possam afetar significativamente interesses e direitos fundamentais, como é o caso daquele que venha a impedir o exercício dos direitos do titular, de modo que a prática provoque uma situação com resultado de danos materiais ou morais para o destinatário, a exemplo de práticas relacionadas com possível vazamento de dados, ocasionando violação à integridade física, direito de imagem, fraudes financeiras ou roubo de identidade.
No caso dos critérios específicos, são tipificados pelo uso de tecnologias emergentes ou inovadoras, a vigilância ou controle de zonas acessíveis ao público (espaços abertos ao público), decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, de crédito e aspectos da personalidade.
Por fim, a utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
3.4 Flexibilização das Obrigações e Registro de Incidentes
Assim como no regramento geral da LGPD, os agentes de tratamento de pequeno porte também estão sujeitos a incidentes de segurança mediante a Resolução, porém haverá flexibilização conforme a realidade do agente de tratamento e levando em consideração os requisitos mínimos necessários para garantir a privacidade dos titulares de dados, ocorrendo o procedimento simplificado conforme pontua o art. 9º da referida Resolução.
Um dos maiores desafios das pequenas empresas, era a obrigatoriedade de nomeação do Encarregado de Proteção de Dados (EPD), porém com a vinda da Resolução, não se trata mais de uma obrigação, mas sim de uma faculdade do agente de tratamento que, quando exercida, será considerada política de boas práticas e governança pela ANPD.
Contudo, deverão disponibilizar um canal de comunicação com o titular de dados pelo qual receberam reclamações e comunicações dos titulares, no pleno exercício de seus direitos, para prestar esclarecimentos e adotar providências.
Notório se faz saber sobre a política de boas práticas, contida na Resolução em seu artigo 12, sugerindo assim que seja estabelecida uma política de segurança da informação, ainda que simplificada, endereçado aos agentes de tratamento de pequeno porte, para que realize revisão periódica e que contemple controles relacionados ao tratamento de dados pessoais.
Dentre tais controles, é sugerido a adoção de medidas de controle de acesso com a identificação do usuário, suas permissões e atividades realizadas. Em relação a coleta e processamento de dados é preciso se atentar ao princípio da necessidade.
Segundo Frazão, Tepedino e Olivia (2020), o princípio da necessidade dispõe que deverão ser coletados o mínimo de dados necessários à efetivação da finalidade pretendida, limitando a quantidade de informações a serem disponibilizadas, visando assim, evitar a coleta excessiva de dados desnecessários.
Com isso, será mais fácil demonstrar que a empresa está cumprindo com as determinações da ANPD, por tais medidas serem consideradas positivas, ajudando diretamente na ampla defesa em uma possível apuração de infração, resultante de um processo administrativo.
Quanto ao processo administrativo para verificação de registro de incidentes, a Resolução faz considerações sobre a concessão de prazo em dobro para determinadas hipóteses, considerando as dificuldades que as pequenas empresas possam enfrentar.
De forma ampla, é concedido maior prazo na comunicação entre empresa e Autoridade Nacional de Proteção de Dados, em relação a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
4 CONCLUSÃO
A LGPD ainda é um assunto que gera muita polêmica na sociedade empresarial, pois todas as empresas querem recursos para facilitar e potencializar seus negócios a partir de informações de usuários, porém, muitas vezes, não conseguem mensurar que o recurso tecnológico, pode ser um risco em se tratando da coleta de dados sem observância as normativas.
Os regramentos da Lei nº 13.853 de 08 de julho de 2019, traz consigo determinações onerosas e burocráticas, quando direcionada as pequenas empresas, gerando um grande desafio aos empreendedores, o que se mostra cada vez mais inviável estar em conformidade.
A publicação do Regulamento foi um importante passo, onde se espera alcançar ainda mais a privacidade e a proteção dos dados de forma normatizada, apesar de recente e, mesmo não estando totalmente pacificado, podemos dizer que é uma nova cultura de tratamento de dados.
O presente tema é de grande relevância social, pois abrange os titulares dos dados, bem como o controlador, mantendo a caracterização da vulnerabilidade com a proteção das pessoas que são atingidas pelo processamento e manipulação de dados de forma desregrada, ferindo princípios constitucionais, contudo, também visa demonstrar a simplificação que as pequenas empresas necessitam, trazendo equidade, objetivando a efetiva aplicação da norma.
Apesar de carecer de informações adicionais por parte do próprio Regulamento, das jurisprudências e doutrinadores, é preciso destacar o tema, a fim de despertar o leitor diversos aspectos em questão, através de uma pesquisa direcionada com caráter informativo.
LOPES, Paula Ferla. Tratamento de dados pessoais de crianças e adolescentes na lgpd: primeiras impressões. Disponível em: https://ibdfam.org.br/artigos/1518/ Tratamento+de+dados+pessoais+de+crian%C3%A7as+e+adolescentes+na+lgpd:+primeiras+impress%C3%B5es. Acesso em 07 mar. 2023.
TEIXEIRA, Ana Carolina Brochado. RETTORE, Anna Cristina de Carvalho. A autoridade parental e o tratamento de dados pessoais de crianças e adolescentes. In: TEPEDINO, Gustavo et al. (Coord.). Lei geral de proteção de dados e suas repercussões no direito brasileiro. 2ª tiragem. São Paulo: Revista dos Tribunais. 2019. p. 505-530.
FURLANETTO, Ana Paula Vieira. O impacto da LGPD na sociedade e os problemas causados pela coleta ilegal e manipuladora de dados pessoais. Disponível em: https://conteudojuridico.com.br/ consulta/artigos/58200/o-impacto-da-lgpd-na-sociedade-e-os-problemas-causados-pela-coleta-ilegal-e-manipuladora-de-dados-pessoais. Acesso em: 10 mar. 2023.
COTS, M., & OLIVEIRA, R. (2019). Lei geral de proteção de dados pessoais comentada. São Paulo: Thomson Reuters Brasil.
BRASIL. Ministério da Segurança Pública. Lei n.º 13.709/2018. Lei Geral de Proteção de Dados, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais. Brasília: MJSP, 2018.
ANPD, Guia Orientativo (2021). SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf. Acesso em: 10 mar. 2023.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). 2. ed. São Paulo: Saraiva Educação, 2020.
CARDOSO, Guilherme. Como fica a LGPD para micro, pequenas empresas, startups e entidades sem fins lucrativos? Disponível em: https://www.jusbrasil.com.br/artigos/como-fica-a-lgpd-para-micro-pequenas-emp resas-startups-e-entidades-sem-fins-lucrativos/1364428398. Acesso em: 05 maio 2023.
SILBERSCHATZ, Abraham; Sistema de banco de dados. Tradução de Daniel Vieira. Rio de Janeiro: Elsevier, 2006.
BRASIL. Constituição da República Federativa do Brasil de 1988, de 5 de outubro de 1988. Brasília, DF: Senado Federal: Centro Gráfico, 1988.
SANCHES, Carolina Gladyer Rabelo; FALCÃO, Cintia M. Ramos. O que aconteceu no último episódio da 1ª temporada da LGPD. Conjur, 2020. Disponível em: https://www.conjur.com.br/2020-set-25/saches-falcao-aconteceu-ultimo-episodiolgpd #:~:text=Com%20um%20enredo%20repleto%20de,feira%2C%20dia%2018%2F9 Acesso em: 10 mar. 2023.
CREUZ, L. R. C., & LIMA, A. P. C. (2022). Gargalos na resolução ANPD 2, de 27 de janeiro de 2022. Disponível em: https://www.migalhas.com.br/depeso/371049/ gargalos-na-resolucao-anpd-2-de-27-de-janeiro-de-2022. Acesso em: 05 maio 2023.
FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. (Coords.). Lei geral de proteção de dados e suas repercussões no direito brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
BLUM, Renato Opice et al. Proteção de dados: desafios e soluções na adequação à lei. Rio de Janeiro: Forense, 2020.
graduando em Direito pela Universidade Brasil. Campus Fernandópolis.
Conforme a NBR 6023:2000 da Associacao Brasileira de Normas Técnicas (ABNT), este texto cientifico publicado em periódico eletrônico deve ser citado da seguinte forma: BUSO, Igor Eugênio. A Lei Geral de Proteção de Dados (LGPD) e os impactos nas pequenas empresas Conteudo Juridico, Brasilia-DF: 26 jul 2023, 04:26. Disponivel em: https://conteudojuridico.com.br/consulta/Artigos/62203/a-lei-geral-de-proteo-de-dados-lgpd-e-os-impactos-nas-pequenas-empresas. Acesso em: 22 nov 2024.
Por: Maria Laura de Sousa Silva
Por: Franklin Ribeiro
Por: Marcele Tavares Mathias Lopes Nogueira
Por: Jaqueline Lopes Ribeiro
Precisa estar logado para fazer comentários.