A LGPD movimenta todos os setores, do público ao privado, inclusive atingindo as micro e pequenas empresas (MPEs), que constituem a base da economia brasileira e são grandes geradoras de emprego e renda.
Trata-se de uma norma transversal: além dos aspectos jurídicos, possui caráter técnico-implementador tecnológico. A lei traz um arsenal de termos da Segurança da Informação e da Ciência da Computação, tais como: coleta e tratamento de dados, anonimização, bloqueio, prevenção, riscos, salvaguardas, mecanismos de mitigação e relatórios de impacto à proteção de dados pessoais.
TRATAMENTO DA MICRO E PEQUENA EMPRESA NA CONSTITUIÇÃO FEDERAL
A Constituição Federal nos artigos 170, inciso IX e 179 estabelece que a ordem econômica e financeira dará um tratamento diferenciado e favorecido às micro e pequenas empresas.
Segundo a lei complementar nº 123/2006, artigo 3º, são consideradas microempresa ou empresas de pequeno porte (EPP), a sociedade empresária, a sociedade simples, a empresa individual de responsabilidade limitada (EIRELI) e o empresário a que se refere o artigo 966 do Código Civil (CC).
O diferencial entre ambas detecta-se no faturamento anual, número de funcionários, e nos tipos de setores, por exemplo, se é indústria (setor secundário), comércio (setor terciário) ou serviços (setor terciário).
O MITO DA ISENÇÃO DA APLICAÇÃO DA LEI
A LGPD não escolhe faturamento; escolhe quem trata dados, independente do seu porte. Por exemplo, se a pessoa tem um cadastro de pessoa física (CPF) de cliente no seu WhatsApp ou uma lista de e-mails, já se enquadra na lei. Atenta às peculiaridades e em observância às normas simplificadas a esse setor, a agência estipulou regras mais flexíveis para esses negócios, tal como ordenou a nossa carta maior.
A RESOLUÇÃO CD/ANPD nº 2/2022: O “RESPIRO” PARA OS PEQUENOS
Trata-se do regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (ATPP).
A figura do Encarregado de tratamento de dados
Os encarregados pelo tratamento de dados pessoais possuem a função de atuar como canal de comunicação entre a instituição, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). Em organizações que lidam com dados pessoais, a identidade e o contato do encarregado devem ser públicos, geralmente expostos no site da empresa.
O art. 41, §2º da LGPD descreve minuciosamente a atribuição do encarregado como sendo: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
FLEXIBILIZAÇÃO
A agência não ficou cega as dificuldades e reconheceu que a estrutura enxuta dos negócios abrangidos pelas micro e pequenas empresas permite a dispensa de DPO (Encarregado de dados ou Data Protection Officer), concessão de prazos em dobro, flexibilização nas medidas de segurança, redução de sanções para pequenas empresas que adotarem boas práticas podendo ter sanções atenuadas em caso de infrações, além do registro simplificado de atividades.
A ANPD dispensou as micro e pequenas empresas de terem um encarregado formal, no entanto exigiu um canal de comunicação que pode ser exercido por pessoa física ou jurídica, com conhecimento da lei e, preferencialmente, experiência em governança de dados.
Na prática, o canal de comunicação escolhido deverá aceitar as eventuais reclamações, ser o elo de comunicação, orientar e executar as demais atribuições estabelecidas, devendo se utilizar de modelos simplificados para documentar as operações de tratamento de dados pessoais, conforme diretrizes da agência que disponibilizou um modelo específico para esse fim, em atenção ao artigo 9º da Resolução ANPD 02/2022.
Em outras palavras, a função (o agir) permanece, embora a forma (a exigência do cargo formal) tenha sido simplificada.
PRAZO EM DOBRO – ARTIGO 14 DA RESOLUÇÃO 02/2022:
A ANPD prevê prazos em dobro para pequenos empreendedores atenderem às suas solicitações e dos titulares de dados, conforme artigo 14 da Resolução CD/ANPD nº 2, que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte (ATPP).
No caso de incidentes de segurança, enquanto empresas de grande porte devem comunicar à ANPD e os titulares de dados afetados em até 3 dias úteis, pequenos empreendedores têm até 6 dias úteis, conforme estabelecido pela Resolução CD/ANPD nº 15/2024 que aprova o Regulamento de Comunicação de Incidente de Segurança.
Já para o atendimento de petições dos titulares, empresas de grande porte possuem 15 dias úteis para responder a solicitações de confirmação de existência ou acesso a dados pessoais,enquanto pequenos empreendedores têm até 30 dias úteis.
MICRO E PEQUENAS EMPRESAS QUE NÃO ESTÃO ISENTOS DA FIGURA DO ENCARREGADO
Para toda regra, há uma exceção, portanto micro e pequenas empresas que operam com faturamento abaixo de 4,8 milhões por ano, por exemplo, as clínicas médicas e consultórios odontológicos de pequeno porte que lidam com dados de saúde, dados biométricos e que lidam com dados em larga escala, pois é a atividade principal, não estão dispensadas da figura do encarregado de dados, visto que o tratamento é de alto risco quando envolve o tratamento de dados sensíveis.
O conceito de larga escala transcende a mera métrica aritmética, configurando-se como um conceito jurídico indeterminado que exige uma análise contextual multidimensional. Essa “zona nebulosa” decorre do fato de que a criticidade do tratamento de dados não reside apenas no volume de registros, mas na natureza intrínseca dos dados e na vulnerabilidade dos titulares. Ao envolver dados sensíveis ou categorias protegidas por prioridade absoluta como por exemplo, crianças, adolescentes e idosos, o impacto do tratamento é amplificado.
Nesses casos, a sensibilidade da informação atua como um catalisador de riscos, elevando a operação ao patamar de larga escala devido ao potencial lesivo aos direitos e liberdades fundamentais, independentemente de uma massa crítica colossal de dados.
A MULTIDIMENSIONALIDADE DOS CRITÉRIOS DE AVALIAÇÃO
Para uma correta subsunção ao conceito de larga escala, deve-se afastar o reducionismo quantitativo e adotar uma abordagem baseada no risco. Isso implica ponderar variáveis estruturais como a perenidade (duração do tratamento), a reiteração (frequência das operações) e a capilaridade geográfica. A escala, portanto, é o resultado da interação entre a extensão do processamento e a profundidade da intrusão na esfera privada do indivíduo. Um tratamento pode ser considerado de larga escala se, pela sua continuidade e abrangência, permitir a construção de perfis comportamentais detalhados ou o monitoramento sistemático de uma parcela significativa de um território ou grupo social.
INTERNACIONALIZAÇÃO E A EXPANSÃO DO ESCOPO DO RISCO
A configuração de larga escala é visivelmente acentuada pelo fluxo transfronteiriço de dados. Mesmo em organizações de pequeno porte, a existência de operações integradas com filiais no exterior introduz uma camada de complexidade jurídica e técnica que expande o escopo do tratamento.
Essa dispersão geográfica exige a harmonização com múltiplos ordenamentos jurídicos e aumenta a exposição do titular a riscos diversos. Assim, a integração internacional atua como um vetor de escala, pois a fragmentação da jurisdição e a diversidade de agentes envolvidos potencializam o impacto sistêmico do tratamento, justificando um rigor regulatório compatível com operações de grande magnitude.
SEGURANÇA DE DADOS É GESTÃO
A LGPD representa um avanço na proteção de dados pessoais no Brasil, e as pequenas empresas não estão isentas de suas obrigações, devendo compreender que aplicar a LGPD sem o suporte adequado de um especialista ainda é um grande desafio.
A então ANPD enquanto era Autoridade forneceu materiais educativos, como o Guia orientativo sobre segurança da informação para agentes ATPP e a Resolução CD/ANPD nº 2 que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte dando suporte para que haja garantia na conformidade sem comprometer o funcionamento das micro e pequenas empresas.
Dessa forma, a adequação à LGPD não deve ser vista apenas como um custo, mas como uma oportunidade para fortalecer a reputação da empresa e aumentar a confiança dos seus clientes. Estar adequado não é apenas evitar multas, mas gerar confiança. Em um mercado saturado de fraudes digitais, garantir ao cliente que seus dados estão seguros é um marketing poderoso.