A Lei Geral de Proteção de Dados – LGPD aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, sempre que:
- a operação de tratamento seja realizada no território nacional;
- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
- os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional, assim considerado quando o titular nele se encontre no momento da coleta.
Quase todas as atividades empresariais, de toda e qualquer natureza, e independentemente do seu porte, podem estar sujeitas às regras da LGPD.
Por isso, é importante a sua Organização saber como lida com dados pessoais, para poder se adequar às regras da lei:
Coleta ou trata dados pessoais no exercício de suas atividades?
Coleta ou trata dados de seus empregados ou colaboradores?
Coleta dados sensíveis, em particular dados de saúde, ou biométricos?
Coleta dados de crianças ou adolescentes?
Recebe, classifica, reproduz, processa, armazena, elimina, transmite ou distribui dados pessoais?
Toma decisões de qualquer natureza com base no tratamento automatizado de dados pessoais?
Realiza transferência internacional de dados?
Possui meios, adota medidas técnicas e administrativas especificas para proteger os dados de acessos não autorizados ou de destruição?
A LEI SE APLICA ÀS EMPRESAS DE PEQUENO PORTE?
É comum existir dúvida quanto à aplicabilidade da lei a empresas de menor porte, sejam elas classificadas como ME – Microempresas (com faturamento anual de até R$ 360 mil) ou EPP – Empresas de Pequeno Porte (com faturamento anual de até R$ 4.800 mil).
A resposta é afirmativa: todos devem cumprir a lei, não existindo tamanho mínimo para se exigir o cumprimento das regras da LGPD, que se aplicam a empresas privadas ou públicas, e também a órgãos públicos, sempre que exista coleta ou o tratamento de dados pessoais no Brasil, ou mesmo se o objetivo do tratamento seja apenas oferecer bens ou serviços a indivíduos localizados no território nacional.
É evidente que uma empresa nova, ou de pequeno porte, não terá a mesma capacidade física e financeira para a adoção dos necessários procedimentos internos para cumprir a lei.
Exatamente por isso, existiu um legítimo movimento do setor, no sentido de abrandar algumas exigências para tais empresas, tendo sido aprovado na lei o artigo 55-J que prevê que a ANPD – Autoridade Nacional de Proteção de Dados deverá “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.”
Da mesma, forma, o artigo 41, Parágrafo 3º, da lei prevê que algumas empresas poderão vir a ser dispensadas de ter um DPO (Encarregado de Tratamento de Dados), conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Sem dúvida, tal circunstância dará um fôlego maior para que tais empresas se adaptem às regras da LGPD, mas isso não quer dizer que elas estarão liberadas do seu cumprimento.
E O QUE DEVEM FAZER AS STARTUPS?
As startups devem estar particularmente atentas ao fato de que seus modelos de negócio são normalmente baseados no uso e tratamento de dados pessoais, sendo imprescindível que já incluam os cuidados necessários para o cumprimento das exigências legais, em respeito à privacidade dos indivíduos, no desenho de seus processos e produtos (“Privacy by design” e “Privacy by default”).
A adequação de suas práticas aos princípios da LGPD é condição necessária para a consolidação da boa governança, elemento-chave para a captação de recursos de investidores que procuram boas oportunidades no mundo da inovação e tecnologia.
ATIVIDADES DE COMÉRCIO ELETRÔNICO
Embora não seja uma novidade, é sabido que o crescimento das atividades de comércio eletrônico, seja por empresas que já atuam há tempos no mercado presencial, seja pelo surgimento de novos players, particularmente como efeito da pandemia da COVID-19.
As empresas que atuam pelo canal online, seja em sites de comércio eletrônico, seja por meio de aplicativos, devem estar especialmente atentas às regras da LGPD. Sabemos que as atividades nesse segmento dependem muito do uso inteligente de dados pessoais, que permitem a comunicação individualizada e oportuna com os clientes.
Nossa experiência permite assistir as empresas na melhor forma de adequação de suas atividades e ferramentas tecnológicas, para atender às regras do ‘privacy by design’ previsto na lei. Mais que isso, podemos auxiliar as empresas a otimizarem a utilização dos dados pessoais em total conformidade com as regras da LGPD.