A proposta da Autoridade Nacional de Proteção de Dados de regras específicas para micro, pequenas empresas e startups é uma boa intenção mas que traz efeitos negativos, por enfraquecer a própria proteção de dados e negar direitos trazidos pela legislação aos titulares de dados – ou seja, todas as pessoas.
Essa foi a tônica do primeiro dia de audiência pública da ANPD sobre a resolução que está em debate público até o fim deste setembro. A preocupação majoritária nas manifestações é de que as dispensas de encarregado de dados ou dos registros de tratamento, ou da portabilidade, que, além de colidirem com o que prevê a Lei Geral de Proteção de Dados (Lei 13.709/18), enfraquecem a proteção de dados ainda nascente no Brasil.
“A adequação à LGPD pode ser desafiadora para os pequenos negócios, mas ela é obrigatória. A privacidade e autodeterminação informativa devem ser objetivos legais com foco na pessoa natural. A LGPD e o Decreto 10.474/20 não trazem faculdade de cumprimento legal, mas sim a simplificação. Não há a possibilidade de exclusão de obrigações, como visto na resolução na questão do direito à portabilidade ou na resposta completa. Senão a resolução vai contra a LGPD e o Decreto”, apontou a advogada e professora Adrianne Correia.
Adicionalmente, a Lei só abre possibilidade de exceções nas regras para empresas – expressamente microempresas, empresas de pequeno porte e startups. Portanto, não haveria espaço para a ANPD incluir entidades sem fins lucrativos, como igrejas, nas dispensas e flexibilizações. Mas ainda mais importante do que isso, diferentes manifestações apontaram que excetuar regras para micro e pequenas empresas, que são 80% das pessoas jurídicas do país, terá reflexos na segurança da informação como um todo, por tornar o sistema mais vulnerável.
“Ao invés de flexibilizar a Lei, a proposta pode facilitar o não cumprimento por agentes de pequeno porte e aumentar os vazamentos. Outra preocupação é com o aumento de ataques cibernético sobre empresas de pequeno porte devido à flexibilização. E se não houver encarregado dedicado, isso pode acabar sendo tratado por alguém não capacitado no tema”, disse o presidente da Associação Nacional dos Profissionais de Privacidade de Dados, Davis Alves.
Ele reforçou que “os titulares de dados devem ser o foco primário da regulamentação, não as empresas. Devemos usar o grau de exposição aos riscos, verificado através do Relatório de Impacto de Proteção de Dados, antes de qualquer medida de exceção ou regulamentação. A LGPD visa a mitigação de ameaças à privacidade”.
É certo que a audiência contou com representantes setoriais tentando alargar as exceções propostas na resolução. Fintechs, pequenos provedores de internet, cartórios, planos de saúde e revendas de automóveis buscaram justificar a inclusão nas dispensas e flexibilizações da LGPD com base em porte financeiro ou no fato de já sofrerem algum tipo de regulação.
Mas como lembrado na audiência, as dispensas podem se voltar contra as próprias pequenas empresas, na medida em que empresas que não serão dispensadas das regras da LGPD poderão evitar negócios com as pequenas, pois a Lei exige um controle não apenas de suas próprias atividades, mas também dos parceiros.
“A dispensa pode ser prejudicial para as demais empresas que vão acabar realizando negócios com a que foi dispensada, visto que ela tem que cumprir com o duo dilligence dela, mas também dos parceiros de negócios, dos prestadores de serviço e fornecedores. Isso vai acabar atrapalhando. Afeta a transparência e o accountability, que são princípios da LGPD”, apontou a advogada Milena Pappert.
“A gente tem que focar a interpretação da LGPD na proteção dos dados e nos direitos dos titulares. Mas isso fica mais difícil sem pelo menos um registro de fluxo dos dados pessoais das pequenas empresas. E isso pode afetar direta ou indiretamente o direito dos titulares, até porque a grande maioria das empresas no Brasil são micro ou de pequeno porte”, completou.