Com a entrada em vigor das sanções e penalidades da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) em agosto de 2021, o debate sobre o nível de maturidade do mercado brasileiro à nova regulação e os questionamentos acerca do poder efetivo da ANPD (Agência Nacional de Proteção de Dados) ganham novos liames. Enquanto casos emblemáticos de vazamentos de dados em empresas de grande porte – com atenção midiática e pressão social – recebem multas significativas e uma fiscalização minuciosa, passa-se a indagar qual será, no Brasil, o tratamento conferido às pequenas e médias empresas diante dos mesmos direitos e deveres.
A Proposta de Resolução da ANPD para regulação da proteção de dados em agentes de pequeno porte, apresentada em 30/08/2021, e a publicação do Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, em 04/10/2021, revelam a pertinência da integração de pequenas empresas ao cenário de implementação da LGPD. Tal cuidado não é infundado: micro e pequenas empresas representam 30% do Produto Interno Bruto (PIB) e geram 55% dos empregos do país. Pouco razoável, portanto, que a implementação da LGPD não seja pautada neste mesmo contexto fático.
Imaginar o panorama de adequação das micro e pequenas empresas brasileiras, nesta perspectiva, requer a condução não de um olhar meramente interno, mas sim de um rico exame da experiência internacional – em especial a da União Europeia (UE), com a General Data Protection Rule (GDPR), vanguarda no resguardo à privacidade.
Principal inspiração e fundamento técnico para a LGPD, a GDPR conta com força sancionatória na UE desde maio de 2018, contabilizando mais de três anos de aplicação concreta. O know-how europeu, nesse sentido, pode revelar um trajeto estratégico às pequenas empresas brasileiras diante da LGPD – em especial no que se refere às principais dúvidas de pequenos empreendedores, a citar: “minha empresa receberá multas por violações à privacidade?” e “como adequar meu negócio?”.
Com base em tais dúvidas, duas perguntas, em particular, podem ser formuladas para investigação da experiência de regulação na UE: (i) Como as microempresas europeias buscaram entrar em conformidade à legislação de proteção de dados? e (ii) Qual o posicionamento dos agentes públicos fiscalizadores perante os small businesses, em termos de aplicação de multas e penalidades na UE?
AÇÕES DOS SMALL BUSINESSES EUROPEUS PARA ENTRADA EM CONFORMIDADE
Entre os principais fatores de conformidade explorados por pequenas empresas para adaptação à legislação de proteção de dados, a experiência europeia coloca em destaque o investimento de recursos econômicos e operacionais e a presença de um regulamento setorial robusto como diferenciais na adequação de pequenas empresas.
Ainda que estudos quantitativos e qualitativos indiquem que empresas de grande porte invistam, proporcionalmente, montantes maiores de dinheiro para implementação da GDPR , a aplicação de recursos econômicos e operacionais permanece fator chave no grau de conformidade em pequenos negócios. Pesquisa conduzida pela União Europeia em 2019 revela que, no primeiro ano de entrada em vigor do regulamento, pequenas empresas realizaram investimentos relevantes em proteção de dados: 90% dos small businesses europeus gastaram algum valor para entrada em compliance, sendo que 68% investiram mais de € 1.000 (mil euros) para adequação à legislação.
Importa, nessa mesma linha, abordar de que forma o dinheiro foi investido no processo de adequação do mercado europeu. Segundo a UE, o gasto majoritário dos pequenos e médios empreendedores se deu com a contratação de consultorias especializadas em proteção de dados e com o treinamento de funcionários; seguidos por investimentos em equipamentos e softwares de segurança da informação.
Observa-se, assim, um maior grau de conscientização dos pequenos e médios negócios europeus para interpretar a legislação de dados como verdadeiro âmbito de compromissos (tanto internos como externos), em face dos quais a aplicação de capital humano e financeiro é imprescindível.
Por sua vez, uma macro análise do contexto empresarial – envolvendo não apenas as empresas individualmente consideradas, mas também os setores de comércio e prestação de serviços em termos gerais – revela outro fator de auxílio à entrada em conformidade: uma regulação setorial bem delimitada.
Regramentos como a LGPD e a GDPR, embora fixem deveres independentes à esfera de atuação dos Controladores, requerem em grande parte que os Agentes de Tratamento saibam efetivá-los de forma específica às suas realidades – vindo disto, inclusive, o conceito de privacy by design, relativo à construção de um modelo de negócios que priorize a proteção à privacidade desde a sua concepção, de forma conjugada ao desempenho empresarial.
Pesquisa de 2020 realizada junto a pequenas empresas irlandesas demonstrou que a existência de organizações sindicais e entidades comerciais especializadas, com padrões de conduta específicos a cada setor de negócios, é tida pelos empreendedores como parâmetro de suporte para adequação à GDPR. Deste modo, obrigações que, a primeira leitura no texto da Lei, são entendidas como abrangentes e pouco tangíveis, passam a ser operacionalizadas de forma particular com uma regulação setorial robusta.
É possível depreender, assim, que a evolução de maturidade em proteção de dados – ao menos no que se refere aos 3 anos em vigor da GDPR – perpassa ações individuais (como investimento em auxílio especializado e capacitação de colaboradores) e coletivas (com a atuação proativa de corporações e sindicatos).
APLICAÇÃO DE MULTAS EM PEQUENAS EMPRESAS
A GDPR, assim como a LGPD, estabelece um conjunto normativo de caráter mais restritivo e sancionatório para violações contra as normas de proteção de dados, quando comparado a outras jurisdições internacionais. Exemplo elucidativo é o de estudo comparativo realizado no Reino Unido , no qual se examinou que o total de multas aplicadas sob o regulamento britânico em 2017 – um montante avaliado em aproximadamente 880 mil libras – estaria, caso aplicados os parâmetros da GDPR, quantificado em mais de 60 milhões de libras. A disparidade entre a soma de multas alerta para a gravidade dos novos regulamentos.
Importa, entretanto, investigar a realidade fática de fiscalização e aplicação das sanções – e se estas são efetivamente concretizadas em sua literalidade. Identifica-se, na prática, que nos primeiros anos de vigor da GDPR as multas aplicadas foram relativamente pequenas, e em grande parte seguiram os parâmetros de penalização utilizados por normativos anteriores à Lei. Ademais, ainda que 42 artigos da GDPR contivessem previsão de multas, nos primeiros vinte e quatro meses de fiscalização somente 22 artigos foram efetivamente utilizados como base legal para o emprego de penalidades .
Ainda assim, o valor médio das multas na União Europeia é vultoso: aproximadamente 1 milhão de euros (variando de multas médias de 9 mil euros, em países como Hungria, até multas de 10 milhões de euros na França). Por outro lado, o volume de penalizações é reduzido: entre julho de 2018 e maio de 2020, somente 232 multas fundamentadas na GDPR foram aplicadas nos 27 países da UE – o equivalente a cerca de 10 multas por mês – sendo que, em sua quase totalidade, penalizaram tão somente médias e grandes empresas.
Embora a perspectiva de sanções concretas em small businesses ainda seja tímida (mesmo no panorama de aplicação da GDPR), a experiência europeia revela que a tendência é de crescimento e intensificação no que se refere às práticas de fiscalização e penalização – tanto em valores de multas como em número de Controladores responsabilizados.
O QUE PEQUENAS EMPRESAS BRASILEIRAS PODEM APRENDER COM O CONTEXTO EUROPEU?
A principal vantagem observada para pequenas e médias empresas no contexto europeu – longe de uma total desvinculação às normas de proteção de dados – é a oportunidade de tempo prolongado para adequação procedimental e concretização de boas práticas e mecanismos de governança no contexto interno do negócio.
Cabe aos pequenos empreendedores, igualmente, compreender as facilitações trazidas pela própria legislação. No Brasil, a proposta de Resolução da ANPD para agentes de tratamento de pequeno porte dispensa os Controladores de manter registros das operações de tratamento, simplifica a realização de Relatório de Impacto e isenta a obrigatoriedade de nomear DPO (Data Protection Officer).
Persiste, todavia, a obrigação de cumprir com os direitos dos titulares (como correção, eliminação e minimização de dados), de realizar processos de tratamento tão somente segundo base legítima (como, por exemplo, com consentimento expresso) e de implementar medidas técnicas e administrativas de segurança da informação.
Não é ignorado, ademais, que uma das principais motivações para adequação à LGPD em pequenos empreendimentos passa a ser não o temor de multas, mas sim – como confirmado pela própria UE – os benefícios de mercado vinculados a se caracterizar como empresa pautada na proteção de dados.
O que a experiência europeia ratifica é que antecedência, preparação holística e precaução continuam elementos chave na jornada de adequação das pequenas empresas brasileiras à LGPD. O processo, ainda que trabalhoso, oferece mais oportunidades do que obstáculos – desde que o caminho de conformidade seja traçado com os cuidados técnico e jurídico necessários.