A Autoridade Nacional de Proteção de Dados (ANPD), uma espécie de agência que regula e fiscaliza a aplicação da Lei Geral de Proteção de Dados, deve concluir em breve a formação do conselho com as entidades de classe ou da sociedade civil organizada. Tão logo isso ocorra, uma das funções da Autoridade é discutir mudanças, normatizar pontos não muito claros ou mesmo direcionar uma interpretação de pontos específicos da LGPD.
Nesse sentido, existem dois assuntos que estão previstos na pauta de debates da Autoridade e que são importantes para o mundo digital – mas que nem sempre merecem a atenção dos meios de comunicação: a necessidade de criação de uma regra excepcional de tratamento de dados para as pequenas e médias empresas e uma hipótese de tratamento chamado legítimo interesse.
Para alguns juristas, os dois temas são igualmente importantes, mas, neste momento, eles ocupam lugares antagônicos na escala de importância da Autoridade: enquanto a exceção da LGPD para as pequenas e médias empresas será o primeiro item da pauta de debates, o legítimo interesse é justamente o último dentro do plano de ação do órgão para os próximos dois anos.
PMEs na LGPD
O tratamento de dados feito pequenas e médias empresas é um assunto tão importante que se tornou o item número um da pauta de debates da ANPD.
Muitos juristas defendem que a Autoridade discuta uma norma excepcional para o tratamento de dados feito pelas PMEs – o que deverá acontecer. Um dos motivos é o financeiro: a adaptação à LGPD tem um custo e não é barato.
No Brasil, não há estudos confiáveis sobre o custo dessa adaptação. Fora do país, o mais recente estudo foi feito em 2018 pela Netsparker, uma consultoria de segurança digital. No levantamento, feito com 300 executivos de segurança da informação (sendo que 80% pertencem ao grupo de microempresa ou até 9 funcionários), mostra que o custo médio para a adaptação a GDPR (a norma de proteção de dados europeia) foi de US$ 50 mil.
Além disso, a adesão das PMEs à Lei de Proteção de Dados Pessoais ainda é baixo. Um recente levantamento da empresa Resultados Digitais (empresa adquirida recentemente pela Totvs) mostra que 4% das empresas PMEs estão adaptadas a LGPD. A expectativa é iniciar o debate no primeiro semestre deste ano.
Especialistas como os advogados do escritório Morais Andrade Advogados, por exemplo, já apresentaram uma sugestão de norma para essas empresas. Em linhas gerais, eles sugerem que as pequenas e médias empresas não sejam obrigadas a apresentar relatórios de tratamento de dados à Autoridade e muito menos precisem nomear um encarregados de dados na companhia.
Legítimo Interesse
Outro tema que será discutido pela ANPD é o chamado legítimo interesse. O legítimo interesse é um das 10 hipóteses de tratamento de dados prevista pela LGPD, ou seja, ela é uma das possibilidades de uso de dados de terceiros autorizados pela lei. Ela é uma espécie de coirmã do consentimento.
De acordo com o plano aprovado pela ANPD, o debate somente vai ocorrer somente no segundo semestre de 2022, muito embora alguns especialistas defendem o início imediato dessa discussão. Um dos motivos é que o legítimo interesse não possui uma definição muita clara, diferentemente do próprio consentimento.
O assunto é tão importante que motivou um estudo feito pelo Data Privacy Brasil, instituto dedicado a estudos sobre direito digital. Segundo o levantamento, essa hipótese surgiu em um documento de 1995 aprovado pelo Parlamento Europeu e foi decisivo para influenciar a inclusão do legítimo interesse em outros países, inclusive no Brasil.
“Sua definição legal, que influenciou outras definições em legislações posteriores, centra-se em um teste de balanceamento: de um lado, os interesses legítimos do controlador (ou de terceiros); de outro, os interesses e direitos fundamentais do titular. Como exatamente atingir esse equilíbrio, entretanto, não é algo que a lei seja capaz de precisar em detalhes. Dessa forma, trata-se de previsão aberta, sujeita a interpretações quanto a seu alcance e escopo”, afirma o estudo.
A definição de legítimo interesse, como o próprio texto da Data Privacy Brasil afirma, não é muito fácil de entender. Porém, reflita sobre o seguinte exemplo: o Uber ou 99 coletam dados dos passageiros e, depois, transferem algumas informações para o motorista, tais como nome e endereço. Nesse momento, o consumidor não é informado sobre o compartilhamento dessas dados – e nem precisaria, segundo a hipótese do legítimo interesse. A transferência de dados é imprescindível para a prestação do serviço, logo haveria um legítimo interesse da empresa em prestar o serviço. A ideia seria a mesma nos aplicativos de comida, entre outros onde há uma empresa de tecnologia intermediando uma relação entre o cliente e o verdadeiro prestador de serviço.
Esses são alguns dos desafios da LGPD para os próximos anos. A pauta completa para os próximos dois anos pode ser vista AQUI.
+ Notícias
Apple é multada em R$ 10 milhões
Turismo e eventos: mais prazos para o pagamento do reembolso ao consumidor