Entrou em vigor em 28 de janeiro o regulamento de aplicação da Lei Geral de Proteção de Dados para os chamados “agentes de tratamento de pequeno porte”. A nova legislação se destina a estabelecer regras especiais, mais flexíveis, para microempresas, empresas de pequeno porte, startups em operação recente e profissionais liberais. A nova regra pode beneficiar mais de 17 milhões de micro e pequenas empresas (MPE) no Brasil, que representam 93% das empresas no Brasil, em 2022. Mesmo na pandemia, o setor foi um dos maiores geradores de emprego, respondendo por 76% das vagas de emprego no país, de acordo com dados do Caged, referentes a novembro de 2021.
É interessante notar que, em linha com as regras internacionais, a legislação não se aplica para os casos em que o agente, independentemente do porte, realize atividades de alto risco, como utilização de dados pessoais em larga escala ou com grande potencial de danos, com decisões automatizadas, utilização de dados pessoais sensíveis, ou ainda, de crianças e idosos.
A atenção especial a dados sensíveis, como dados de saúde, biométricos, religiosos, harmoniza-se com a legislação europeia que protege mais, quanto maior o impacto de um incidente de segurança com os dados pessoais.
Na prática, significa dizer que este regime mais simplificado não se aplica em clínicas, consultórios ou mesmo em uma escola infantil. Essa limitação, no entanto, pode ser contornada. Para isso, é necessário que tais empresas, nos termos do regulamento, se organizem para, em conjunto, serem representadas para fins de negociação das reclamações e deste modo, tenham um regime mais flexível, o que demonstra a preocupação em resolver os problemas de modo rápido e efetivo.
As empresas beneficiadas pelas novas regras não estão obrigadas a indicar o encarregado de proteção de dados, o chamado Data Protection Officer ou DPO, embora a recomendação seja que adotem tal medida por ser uma boa prática de proteção de dados pessoais. Outra vantagem da legislação especial, é o prazo em dobro para atender aos pedidos dos titulares e uma exigência mais simplificada de medidas de segurança.
Ao diferenciar os portes dos chamados agentes de tratamentos de dados, cria-se no Brasil um regime que leva em conta de modo mais adequado, a realidade do país e permite às pequenas empresas estarem em dia com a legislação por meio de investimentos significativamente menores. Por outro lado, é importante também colocar na ponta do lápis que cada dólar investido em proteção de dados pessoais, reverte no dobro de resultado, como demonstrou recente estudo da Cisco.
*Gabriel Schulman, doutor em Direito, DPO e professor do mestrado em Direito da Universidade Positivo.