Dispensas da ANPD para quem fatura até R$ 16 milhões enfraquecem a LGPD
O segundo dia de audiência pública promovida pela Autoridade Nacional de Proteção de Dados, nesta quarta, 15/9, sobre as regras especiais para pequenas empresas, manteve o tom crítico da véspera com relação às principais medidas da proposta: a dispensa de registro de tratamento, de encarregado de dados e de portabilidade para PMEs e startups.
Em especial, os próprios critérios para definir quais as instituições estariam dispensadas de parte das regras da Lei Geral de Proteção de Dados (13.709/18) ou poderiam atende-las de forma simplificada levantam preocupações de DPOs, tecnólogos, estudiosos e advogados. A leitura é que o texto proposto, ao apontar para o Marco Legal das Startups (LC 182/21), abre brecha para que empresas com faturamento de até R$ 16 milhões por ano sejam dispensadas da LGPD.
“Conforme o proposto, vai ser facílimo burlar a regra de suposto pequeno porte. Temos que lembrar que não há maturidade social, nem empresarial, para boas práticas e cumprimentos da LGPD, sendo o papel do encarregado fundamental para promoção desse ambiente jurídico e social em prol da proteção de dados no Brasil. Se mantida a redação proposta, o orçamento das empresas por certo vai ser redirecionado e os investimentos para adequação à ALGPD vão para estratégias contábeis e fiscais com o objetivo de se enquadrar como agente de pequeno porte”, apontou o advogado Rodrigo Gomes.
Ao apontarem para o mesmo problema, diferentes manifestações reforçaram que as dispensas fragilizam a LGPD ainda nascente e podem prejudicar as próprias empresas que a resolução em debate busca ajudar. “Todas as empresas tiveram dois anos para se adequar à legislação, mas não deram a mínima para isso. Pensando como titular de dados, e quando a gente fala que empresas pequenas, MEIs, ou startups com faturamento de até R$ 16 milhões, portanto nada pequenas, vamos gerar um impacto comercial. O titular de dados vai deixar de fazer negócios com empresas que não tenham adequação”, disse o CIO da empresa Softsat, Fernando Fornazieri.
Para Walter Gaspar, do CTS-FGV, “são indesejáveis as dispensas de portabilidade, de manutenção de registros de operação e de indicação de encarregado. Esses são três pilares para o exercício de direito pelos titulares, e sua mera dispensa arrisca grave vulneração da intenção original da legislação”. Melhor seria a manutenção de obrigações, ainda que simplificadas.
“Níveis diferentes de portabilidade, com o estabelecimento de padrões simplificados e especialmente de ferramentas práticas e iniciativas educativas por parte da Autoridade, representariam um meio termo mais eficaz entre o abandono total proposto e a obrigação de um sistema complexo de portabilidade e interoperabilidade exigível para grandes atores. Quanto aos registos, a dispensa esvazia de sentido os esforços por uma postura ativa de cuidado com o tratamento de dados pessoais. É pedra fundamental tanto para o cumprimento das obrigações do controlador, como para o exercício de direitos pelo titular. E o mesmo vale para a indicação do encarregado”, defendeu.
Como também apontou o DPO e profissional de TI Mauro Santos, as medidas podem afetar até a relação com outros mercados. “Não se pode inviabilizar as empresas, mas não podemos deixar a lei cair no descrédito, tanto interno como internacional. A minuta considera de pequeno porte as startups, com faturamento de até R$ 16 milhões. Será que uma empresa com esse faturamento não tem recursos para promover sua adequação? Se tornada ineficiente, a LGPD pode limitar a atuação de agentes econômicos brasileiros em países com legislações de privacidade melhor estabelecidas.”
Ele insistiu que o foco das regras, ainda que diferenciadas, precisa ser nos titulares dos dados, não nas empresas. “Quando se discutiu a obrigatoriedade do cinto de segurança nos automóveis, chegou a se discutir permitir o cinto de dois pontos nos veículos populares, e três pontos nos de luxo. Como o foco era o usuário e não as montadoras, se definiu o cinto de três pontos para todos os veículos. A mesma segurança para todos os usuários.”