Software Houses e sua adequação à LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) já é uma realidade no panorama brasileiro. Em vigor desde setembro de 2020, a LGPD prevê as normas e regras que devem ser observadas por todas as empresas que realizarem operações de tratamento de dados pessoais dentro do escopo da LGPD, tais como a coleta, armazenamento, transferência e utilização de dados pessoais.  

Com a criação da autoridade Nacional de Proteção de Dados (“ANPD” ou “autoridade”), órgão com responsabilidade por zelar pelo tema e editar normas subsidiárias às da LGPD, bem como fiscalizar e sancionar os agentes de tratamento em caso de descumprimento, as questões envolvendo a temática dos dados pessoais deram um passo adiante.  

A atuação da ANPD passou por um período inicial de estruturação e atuação com foco maior na educação da sociedade a respeito da proteção de dados pessoais, por meio da edição de diversos guias orientativos.   

Após esse primeiro momento, a autoridade vem evoluindo em matérias relacionadas à fiscalização, com destaque para a publicação da Resolução CD/ANPD nº 1, em 28 de outubro de 2021, regulamentando o processo administrativo fiscalizador e sancionador no âmbito da ANPD. 

Já no que toca a atividade sancionadora da autoridade, o Regulamento de Dosimetria e Aplicação das Sanções Administrativas acaba de ser publicado, trazendo os critérios e parâmetros a serem seguidos. Assim, espera-se que as sanções comecem a ser aplicadas em breve.  

Em que pese este caráter ainda incipiente da autoridade em relação à condução de processos administrativos e no que diz respeito à aplicação de sanções, que, em casos mais graves, poderão ser de impedimento da atividade e multa de até R$ 50 milhões, o descumprimento das normas de proteção de dados gera outros riscos a serem considerados pelas empresas.   

O primeiro desses riscos é a ameaça reputacional. Os últimos anos apresentaram um aumento no volume de incidentes de segurança cibernética envolvendo dados pessoais ao redor do mundo, que geram danos consideráveis à imagem e marca da empresa quando divulgados.  

O impacto se torna ainda maior quando se trata de empresa do ramo de tecnologia, a exemplo das Software Houses, devido à ligação intrínseca entre o seu serviço e a violação.  

O fato de uma Software House, sociedade empresária especializada em desenvolver soluções e sistemas tecnológicos, sofrer um incidente de cibersegurança em seus próprios sistemas levanta questionamentos quanto à sua qualidade, que poderão gerar desconforto em possíveis clientes, impactando-as negativamente. 

Ademais, além das multas aplicáveis pela autoridade em caso de descumprimento, os próprios titulares de dados pessoais fazem jus à reparação civil, por meio de pedidos de indenização em ações judiciais. Cabe mencionar que, com a separação das esferas judiciária e administrativa, o estágio inicial de atuação da ANPD não impede a condenação por violações à LGPD no âmbito de uma ação civil, já existindo diversas sentenças favoráveis aos titulares de dados pessoais nos tribunais brasileiros.   

Uma pesquisa do segundo semestre de 2022 do Cetic.br apontou que o nível de compliance das empresas no país no tema de proteção de dados pessoais ainda é baixo, com menos de 25% das empresas entrevistadas tendo elaborado e implementado um plano de adequação à LGPD ou disponibilizado aos titulares de dados um canal de comunicação para o exercício de seus direitos, ambas obrigações previstas na LGPD.  

Por outro lado, a mesma pesquisa indica que 56% dos usuários de internet entrevistados afirmaram ter deixado de utilizar algum serviço ou plataforma na Internet em virtude de preocupação com o uso de seus dados. Isso ilustra a maior importância que os titulares vêm concedendo à privacidade e proteção de seus dados pessoais, sendo esse efetivamente um critério para a escolha de um prestador de serviço.  

Dessa forma, a adequação à LGPD se torna não somente uma forma de cumprir uma obrigação legal, mas também um diferencial competitivo à empresa, em atenção às demandas da sociedade civil, cada vez mais preocupada com o uso de seus dados pessoais.  

Para estar em conformidade com a LGPD, as empresas necessitam implementar um plano de adequação, envolvendo, dentre outros aspectos, a revisão de seus contratos, procedimentos e fluxos de dados internos, bem como o estabelecimento de políticas de governança e privacidade e a nomeação de um Encarregado (em inglês, Data Protection Officer ou DPO), pessoa natural ou jurídica responsável por atuar como um canal de comunicação entre as partes, os titulares de dados pessoais e a ANPD, além de fornecer orientações e treinamentos sobre o tema para os colaboradores da empresa. 

Posteriormente, a ANPD editou a Resolução CD/ANPD nº 02, em 27 de janeiro de 2022 (“Resolução nº 2/2022”), na qual dispensou os agentes de tratamento de pequeno porte, que são, especialmente, as startups, microempresas e empresas de pequeno porte (ME/EPP), do cumprimento de certas obrigações da LGPD, como a de nomeação do DPO. Todavia, a norma também dispôs que, mesmo se tratando de agentes de pequeno porte, não existiria a dispensa em casos de tratamento de dados considerado de alto risco, a depender de critérios gerais e específicos previstos na Resolução nº 2/2022.  

De acordo com a autoridade, os critérios gerais são que um tratamento de dados 1) ocorra em larga escala; ou 2) possa afetar de forma relevante os interesses e direitos fundamentais dos titulares de tais dados.   

Já os critérios específicos são que o tratamento de dados: 1) utilize tecnologias emergentes ou inovadoras; 2) esteja relacionado à vigilância ou controle de zonas acessíveis ao público; 3) utilize tomadas de decisões lastreadas somente em tratamento automatizado de dados pessoais, como profiling; ou 4) envolva dados sensíveis ou dados pessoais de idosos ou menores de idade.  

Cabe destacar que um tratamento de dados pessoais será configurado como de alto risco quando atender pelo menos um critério geral e um critério específico dentre os mencionados acima.  

Neste particular, as empresas de desenvolvimento de software e soluções tecnológicas, conhecidas como Software Houses, devem estar particularmente atentas à adequação à LGPD, ainda que estejam enquadradas na categoria de agentes de pequeno porte.   

Isso porque, a depender do volume e da categoria dos dados pessoais envolvidos em seu serviço, é possível que a operação de uma Software House seja considerada como tratamento de alto risco, por estar enquadrada nos critérios da mencionada resolução, especialmente quando utilizar tecnologias inovadoras e o tratamento for de larga escala ou puder afetar de forma significativa direitos dos titulares de dados pessoais, o que deverá ser analisado de maneira casuística.  

Por fim, é importante ressaltar que os custos para adequação de uma empresa à LGPD são ínfimos, se comparados ao possíveis gastos em caso de aplicação de sanções pela ANPD ou em condenação em processo civil requerendo reparação de danos. Além, é claro, dos danos reputacionais, que podem ser irrecuperáveis, a depender das circunstâncias.   

Sendo assim, a adequação às normas de proteção de dados pessoais, com a implementação de políticas e fluxos internos em compasso com a lei e a regulamentação, representa uma considerável vantagem econômica e competitiva para as empresas, atendendo aos desejos da sociedade contemporânea.