Tudo indica que negócios de menor porte terão regras afrouxadas para a normativa, incluindo a dispensa da necessidade de nomear um encarregado de dados e de gerar relatórios periódicos sobre o tratamento dos dados.
A Lei Geral de Proteção de Dados (LGPD) já está valendo e estamos cada vez mais próximos de agosto de 2021 — data marcada para que a Autoridade Nacional de Proteção de Dados (ANPD) comece a aplicar multas nas empresas que descumprirem a normativa. Companhias de grande porte, em sua maioria, já garantiram um nível mínimo de conformidade com a legislação. Sendo assim, a pergunta que fica é: e as micro, pequenas e médias empresas ? Elas também precisarão seguir regras tão rígidas?
Ao que tudo indica, a Autoridade deve afrouxar a lei para esse tipo de pessoa jurídica. Já em fevereiro, o Fórum Permanente das Microempresas e Empresas de Pequeno Porte, em parceria com o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE), enviou uma carta à ANPD sugerindo um regulamento simplificado para micro e pequenos negócios. As sugestões incluem a dispensa da empresa nomear um encarregado de dados (DPO), manter registro das operações e elaborar relatórios sobre o tratamento.
“Reforçamos a importância do cuidado com os dados dos clientes e sugerimos medidas como a redução do valor das multas, flexibilização de prazos e inclusão de processos educativos aos pequenos negócios na aplicação da lei. Os microempreendedores individuais e pequenas empresas precisam ter equidade no tratamento, justamente por não terem porte e orçamento de grandes empresas. É uma questão de equilíbrio e aumento da efetividade da lei”, explicou Carlos Melles, presidente do SEBRAE.
Quem também defende tal flexibilização é a Associação Brasileira de Internet (Abranet), que desde março vem se posicionado de forma protetiva aos microempreendedores individuais (MEIs), que geralmente atuam sozinhos e não costumam ter condições de contratar um encarregado apenas para garantir compliance com a LGPD. Ademais, visto que esse tipo de empreendedor possui pouco ou nulo orçamento para contratar serviços gerenciados de segurança, não faria sentido exigir uma série de obrigações.
As propostas fazem sentido. Claro, não é porque um empresário possui um negócio de pequeno porte que ele poderia se isentar da culpa pelo mau-uso de dados pessoais ou exposição acidental de informações sensíveis — porém, devemos levar em conta dois aspectos. Primeiramente, a General Data Protection Regulation (GDPR, lei europeia na qual a LGPD foi inspirada) isenta pequenas empresas de cumprirem suas normas. Já aqueles empreendimentos com até 250 funcionários possuem regras mais brandas.
Em segundo lugar, as pequenas empresas representam 99% do corpo corporativo brasileiro. Exigir altos investimentos em segurança cibernética e medidas de proteção de dados para esses empreendedores, especialmente durante a crise econômica causada pelo novo coronavírus (SARS-CoV2), seria uma atitude capaz de sufocar essas atividades e até mesmo estrangular a inovação no país. Isto posto, é possível que a ANPD — que iniciou seus trabalhos a pouco tempo — pense “com carinho” nas micro e pequenas empresas.