Apresentação ¹

De forma breve, este artigo pretende expor alguns pontos relacionados à aplicação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (“LGPD” ou “Lei”), às pequenas e médias empresas (“PMEs”).

  1. Quais os critérios para definir pequenas e médias empresas?

No Brasil, há uma série de classificações para determinar o porte de empresas. Alguns órgãos possuem seus próprios critérios, como a Agência Nacional de Vigilância Sanitária (“ANVISA”), o Banco Nacional de Desenvolvimento Econômico e Social (“BNDES”), e o Instituto Brasileiro de Geografia e Estatística (“IBGE”). Existem, ainda, leis que tratam do assunto, como a Lei n. 6.938/81, que define a Política Nacional do Meio Ambiente.

Não obstante a existência de diversos critérios para classificação, 02 (dois) se destacam, quais sejam, receita ou faturamento e número de funcionários.

2.1.       Distinção entre pequena e média empresa pelo Mercosul.

A categorização das PMEs foi feita pela Comissão de Pequenas e Médias Empresas do Mercosul em 1991, quando da assinatura do Tratado de Assunção. Então, Brasil, Argentina, Paraguai e Uruguai, os países fundadores do Mercosul, classificam as PMEs conforme tabela abaixo:

Categoria Funcionários (até) Venda Anual (até) (US$)
Micro 20 400.000
Pequena 100 2.000.000
Média 300 10.000.000

2.2.      Diferenças entre microempresa, empresa de pequeno porte e microempreendedor individual conforme a Lei Complementar n 123/06.

A Lei Complementar nº 123, de 14 de dezembro de 2006, instituiu o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte e trouxe o critério da receita bruta anual para distinguir a microempresa (“ME”), a empresa de pequeno porte (“EPP”) e o microempreendedor individual (“MEI”), conforme tabela abaixo:

Categoria Receita Bruta Anual em cada ano calendário
Microempresa Igual ou inferior a R$360.000,00
Empresa de pequeno porte Superior a R$360.000,00 e igual ou inferior a R$4.800.000,00
Microempreendedor individual Igual ou inferior a R$81.000,00

Apenas a título informativo a classificação de empresas por seu porte se completa com mais 02 (duas) categorias: (i) empresa de médio porte, cuja arrecadação é menor ou igual a R$300 milhões e (ii) empresa de grande porte, que possuem faturamento acima de R$300 milhões.

Para a condução de alguns esclarecimentos relativos à aplicação da LGPD às pequenas e médias empresas, o presente artigo considerará as PMEs, a ME, a EPP e o MEI, em conjunto denominadas apenas como “Empresas” como forma de facilitar a leitura a seguir.

  1. O que é correto afirmar quando analisamos o impactos da LGPD para as Empresas?

3.1.      A LGPD se aplica a qualquer pessoa física ou jurídica que trate dados pessoais.

O texto da LGPD é abrangente e as Empresas já precisam estar adequadas. Existem algumas hipóteses em que a LGPD não se aplica. São elas:

  • Quando o dado pessoal é tratado por pessoa física para fins exclusivamente particulares e não econômicos;
  • Quando o tratamento de dados pessoais é realizado exclusivamente para os seguintes fins:
    • Jornalísticos e artísticos; ou
    • Acadêmicos;
    • Segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais.
  • Quando o dado pessoal for proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

É possível deduzir que quase a totalidade das Empresas não se encaixa nas hipóteses que excetuam a aplicação da LGPD, em razão de seu caráter econômico e atividades usualmente por elas desempenhadas.

Dessa maneira, até que a Autoridade Nacional de Proteção de Dados (“ANPD”) edite alguma regulamentação sobre a aplicação e o alcance da LGPD às Empresas, todas as obrigações, direitos e deveres previstos na Lei precisam ser observados e cumpridos.

Há quem não vislumbre o tratamento de dados por uma ME, uma EPP ou um MEI. No entanto, observe os 02 (dois) exemplos corriqueiros, listados a seguir:

  • Uma lanchonete de bairro que tenha se cadastrado em um aplicativo de entregas de refeições para seguir com suas atividades durante a quarentena imposta por alguns meses. A lanchonete recebe alguns dados pessoais dos clientes que fazem seus pedidos por meio do aplicativo.
  • Uma decoradora de eventos, ao ser contratada para elaborar uma festa, recebe informações pessoais como nome, idade, endereço e dados bancários.

Em razão de o conceito de dado pessoal ser bastante abrangente, é fato que Empresas lidam diariamente com eles, estando, portanto, sujeitas à LGPD.

3.2.      Se adequar à LGPD não levará as Empresas à falência.

O processo de adequação à LGPD pode ser custoso e longo, mas isso não é uma regra. Assim como a implementação não é uma receita de bolo e cada caso deve ser tratado de forma personalizada, os custos também levarão em conta, dentre outros aspectos: o tamanho da empresa, a natureza de sua atividade, a quantidade de dados que ela trata e o nível de segurança da informação existente.

Logo, não se pode afirmar que seria inviável adaptar uma Empresa à LGPD em razão das despesas necessárias.

Outro fator a ser considerado por empresários e empreendedores é a vantagem competitiva que decorre de se estar em conformidade com a Lei. Implementar as diretrizes da LGPD não é apenas uma obrigação legal, mas também uma oportunidade para ganhar mercado e estar à frente de concorrentes.

Aliás, muitos fornecedores de grandes empresas estão sendo questionados sobre tratamento de dados pessoais e é claro que qualquer contratante optará por trabalhar com uma Empresa que esteja adequada à LGPD ou em processo avançado de adaptação.

Diante disso, não estar em compliance com a LGPD pode trazer perdas financeiras pela rescisão de contratos e impossibilidade de fechar novos negócios, e até mesmo gerar um dano reputacional.

3.3.      Uma Empresa não poderá receber uma multa de R$50 milhões.

Antes de pormenorizar essa afirmação, vale lembrar que, para fins deste artigo, o termo definido “Empresa” abrange apenas: PMES, MEs, EPPs e MEIs. Estão excluídas as médias e grandes empresas.

A LGPD traz diversas as sanções administrativas aplicáveis pela ANPD, como advertência e multa. Os artigos 52, 53 e 54, que tratam dessas penalidades, passam a vigorar em 1º de agosto de 2021. Com isso, até agosto de 2021, a ANPD não poderá aplicar qualquer sanção.

Em que pese o lapso temporal de 09 (nove) meses até a vigência dos artigos 52, 53 e 54 da Lei, alguns aspectos merecem atenção, quais sejam:

3.3.1. Sanções Administrativas previstas na LGPD.

Faz-se necessário deixar claro que a multa prevista na LGPD é de 2% (dois por cento) do faturamento da pessoa jurídica privada, no seu último exercício, LIMITADA a 50 (cinquenta) milhões de reais por infração. Então, se estivermos diante de um vazamento causado por uma empresa de pequeno porte, por exemplo, como ela tem receita bruta anual superior a R$ 360.000,00 e igual ou inferior é R$ 4.800.000,00, não dá para falar que ela receberá uma multa de 50 milhões da ANPD por cada infração.

A não ser que ocorra um incidente de segurança extremamente danoso, espera-se que a ANPD priorize o caráter educativo antes de passar a aplicar as sanções. A própria LGPD prevê a advertência como uma das primeiras penalidades e determina que a ANPD leve em conta alguns critérios para aplicação das penas previstas, como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a reincidência e o grau do dano.

Para aqueles que estão preocupados apenas com a multa, cumpre ressaltar que existem sanções bem graves que também acarretam perdas financeiras consideráveis:

  • Publicização da infração.
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração;
  • Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração; e
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

3.3.2. Outras penalidades aplicáveis.

Quando a LGPD entrou em vigor, alguns chegaram a declarar que não havia necessidade de se estar em conformidade, pois as sanções previstas na Lei não podem ser aplicadas até agosto de 2021.

Como se sabe, a proteção de dados no Brasil e o respeito à privacidade já estavam presentes em outras normas, como a Lei nº 8.078/1990 (“Código de Defesa do Consumidor”) e a Lei nº 12.965/2014 (“Marco Civil da Internet”). Tais leis possuem suas penalidades e elas são aplicáveis. O próprio §2º do artigo 52 da LGPD deixa claro que as sanções da LGPD não substituem ou revogam as penas previstas em outros normativos.

Antes mesmo da entrada em vigor da LGPD, órgãos de defesa do consumidor e Ministérios Públicos autuaram empresas acerca da proteção de dados com base nas outras leis vigentes no Brasil.

Não podemos esquecer, ainda, do Poder Judiciário, pois o titular de dados pode judicializar uma infração e o controlador dos dados não poderá eximir-se de uma eventual condenação.

3.3.3. A importância do dano reputacional.

A ocorrência de um incidente de segurança, por si só, já é capaz de afetar negativamente a confiança do titular de dados pessoais. Uma reputação abalada por conta de uma desconformidade com a Lei pode ocasionar perda de clientes e, consequentemente, de receitas.

Hoje vivemos em uma época de “cancelamentos” imediatos. Se uma notícia negativa “viralizar”, a imagem de uma empresa pode ser arruinada em algumas horas, antes mesmo da apresentação de justificativas, desculpas ou defesa. Dificilmente essa empresa recuperará seu nome ou precisará de um tempo significativo para reconstruir seu prestígio.

Negar a aplicação da LGPD às Empresas é aumentar a exposição a diversos riscos, e a aplicação de multa pecuniária é apenas um deles.

¹ Este documento foi produzido por Renata Rodrigues e destina-se aos clientes e integrantes do Renata Rodrigues Advocacia. O presente material tem caráter meramente informativo e não busca orientar qualquer pessoa para fins legais, não podendo ser utilizado como opinião legal.

Conclusão

Ainda que a LGPD já esteja em vigor, é sempre importante reforçar sua abrangência e aplicação. As PMEs, MEs, EPPs e MEIs estão sujeitas à Lei e caso não estejam de acordo com suas diretrizes, há que se implementar imediatamente as medidas necessárias para alcançar a conformidade.

Cumpre destacar que o porte reduzido dessas Empresas promove diferenças de ordem prática, como o volume de dados por elas tratados, por exemplo. A realidade de cada Empresa irá ditar a forma mais eficiente para se conduzir o processo de adaptação à Lei. Contudo, isso não afasta nenhum elemento da LGPD nem mesmo a obrigatoriedade de obedecer seus comandos.

Para mais informações sobre privacidade, proteção de dados e outros temas de Direito Empresarial, visite também o Instagram “@rr_advocacia_” e o canal “Renata Rodrigues Adv” no YouTube.

BAIXAR ESTE ARTIGO EM PDF