Revista Iberoamericana de Derecho, Cultura y Ambiente
RIDCA - Edición Nº5 - Derecho Constitucional y Derechos Humanos
Javier A. Crea. Director
15 de julio de 2024
Empresas de pequeno porte do setor hoteleiro e a Lei Geral de Proteção de Dados Pessoais (LGPD).
Las pequeñas empresas del sector hotelero y la Ley General de Protección de Datos Personales (LGPD)
Autores. Aicha de Andrade Quintero Eroud y Fabrizio Bon Vecchio. Brasil
Por Aicha de Andrade Quintero Eroud[1] y Fabrizio Bon Vecchio [2]
A Lei Geral de Proteção de Dados Pessoais (LGPD) impacta no setor hoteleiro, considerando que as pessoas jurídicas de direito público e de direito privado, bem como as pessoas físicas no Brasil, que tratam dados pessoais com fins econômicos devem observar a legislação. A Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, aprovando o Regulamento de aplicação da LGPD para os agentes de tratamento de pequeno porte, flexibilizando e dispensando algumas regras. O Objetivo Geral deste estudo centra-se na importância da Resolução supramencionada para a adequação dos empreendimentos de pequeno porte do setor hoteleiro à LGPD e similaridades com leis internacionais correspondentes. Para tanto, emprega-se o Método Dedutivo como critério metodológico para a composição textual. As técnicas de pesquisas utilizadas são a Bibliográfica e Documental.
Palavras-chave: Lei Geral de Proteção de Dados Pessoais; setor hoteleiro, Autoridade Nacional de Proteção de Dados; Pessoas Físicas; Pessoas Jurídicas
The General Law of Personal Data Protection (LGPD) impacts the hotel industry, considering that legal entities of public and private law, as well as individuals in Brazil that process personal data for economic purposes must comply with the legislation. Recently, the National Data Protection Authority (ANPD) published the CD/ANPD Resolution No. 2, of January 27, 2022, approving the Regulation for the application of the LGPD for small processing agents, relaxing and waiving some rules. The General Objective of this study focuses on the importance of the aforementioned Resolution for the adequacy of small-sized enterprises in the hotel sector to the LGPD and similarities with corresponding international laws. To this end, the Deductive Method is employed as the methodological criterion for the textual composition. The research techniques used are Bibliographic and Documentary.
Keywords: General Law of Personal Data Protection; hotel industry, National Data Protection Authority; Individuals; Legal Entities
INTRODUÇÃO
Os dados pessoais movimentam a economia atual, podendo ser considerados como o pilar estrutural que edifica inúmeros trabalhos e serviços prestados por pessoas jurídicas de direito público e privado ou por pessoas físicas que tratam dados com fins econômicos. Esses dados são coletados para fins variados e, muitas vezes, tratados de forma indiscriminada. Antes da criação das leis que protegem os dados pessoais, havia a impressão de que estes eram propriedades daqueles que os coletavam, os quais podiam fazer o que bem pretendiam com seus bancos de dados.
Todavia, tendo em conta a necessidade de regular o tratamento de dados pessoais, o Brasil criou o Lei nº 13.709/2018, denominada por Lei Geral de Proteção de Dados Pessoais, conhecida pela sigla LGPD, que trouxe consigo a autodeterminação do titular como um de seus fundamentos. A criação da LGPD foi inspirada no Regulamento Geral sobre Proteção de Dados (RGPD), regulamento europeu. Muito embora a LGPD se assemelhe ao RGPD, há algumas diferenças entre ambas, como por exemplo, a aplicação diferenciada da LGPD aos agentes de pequeno porte que, inicialmente, não estava prevista na legislação brasileira. Todavia, no RGPD havia essa previsão já inserida.
Como esperado, o Brasil seguiu a legislação europeia e, por meio da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, aprovou o regulamento de aplicação da LGPD para os agentes de tratamento de pequeno porte, de forma a flexibilizar e dispensar algumas regras, sem, contudo, afetar os direitos do titular.
Esse novo regulamento trouxe consigo a definição dos agentes de tratamento de pequeno porte, entrando nesse rol as empresas de pequeno porte do setor hoteleiro, salvo exceções que serão vistas no presente estudo. O tratamento diferenciado a esses agentes é imprescindível para que se cumpra os preceitos constitucionais voltados às micro e pequenas empresas, possibilitando que estas possam estar em conformidade com a lei sem que isso afete suas estruturas.
Ao tratar de empresas do setor hoteleiro, importante ressaltar que muitas, mesmo que se enquadrem na modalidade de pequeno porte prevista na resolução, tratam dados pessoais em grande quantidade, incluindo coleta de dados sensíveis que, segundo a LGPD, possuem tratamento diferenciado considerando que podem causar discriminações.
Nesse sentido, o Objetivo Geral deste trabalho consiste na verificação da aplicação da LGPD e da Resolução CD/ANPD nº 2/2022 às empresas de pequeno porte do setor hoteleiro no Brasil, de forma a acompanhar a tendência internacional de proteção de dados. Os Objetivos Específicos são: a) estudar o RGPD de forma a compará-lo à LGPD quanto a aplicação das normas aos agentes de pequeno porte; b) averiguar se a nova resolução se adequa à realidade e necessidade dos agentes de pequeno porte; c) analisar as exceções de aplicação da Resolução CD/ANPD nº 2/2022.
O Problema de Pesquisa reside na seguinte indagação: Qual é o benefício que a Resolução CD/ANPD nº 2/2022 traz para os agentes de pequeno porte do setor hoteleiro?
Como Hipótese Provisória tem-se a importância dos agentes de pequeno porte do setor hoteleiro se adequar à LGPD, de forma a proteger, para além dos dados pessoais dos hóspedes, funcionários e demais terceiros, resguardar o empreendedorismo de possíveis incidentes de segurança que envolvem dados pessoais e que possam comprometer a imagem do negócio.
Para a composição do texto é utilizado o Método Dedutivo. As técnicas de pesquisas são a Bibliográfica e Documental.
- A LGPD E A CULTURA DE PROTEÇÃO DE DADOS PESSOAIS COMO REGRA
Hodiernamente, considerando a globalização, o advento das tecnologias e da Internet das Coisas – IoT, tem-se uma tendência mundial quando o assunto é proteção de dados pessoais. Em tempos de big data, vale recordar que “essa tecnologia é aplicada à internet das coisas e possibilita usar uma mesma base de dados para propósitos diferentes, podendo ser incompatível com a autodeterminação informacional […] (Aliceda, 2021, p. 199). A autodeterminação informativa está contida na LGPD como um de seus fundamentos.
No mundo atual, os dados pessoais viraram moeda de troca. Isso é de simples constatação, bastando verificar que para ter acesso a um aplicativo ou serviços de sites “gratuitos”, na maioria das vezes, é necessário abrir uma conta que requer preenchimento com dados pessoais do usuário ou permitir acessos às informações contidas nos dispositivos.
O fato é que “[…] a proteção de dados se alterou conforme também ocorreram, na sociedade, transformações econômicas e sociais em razão do desenvolvimento e da ampliação da utilização da tecnologia” (Basan, 2021). Nesse sentido, vários países já possuem normas que versam sobre o tema.
Fomentar a cultura de proteção de dados pessoais vem sendo primordial para a evolução do conhecimento acerca da importância e valor que os dados pessoais carregam consigo, de forma a irradiar a preservação de diversos direitos fundamentais. Muito embora seja recente no Brasil, essa cultura já havia iniciado seu percurso muito antes em outros países.
Num contexto histórico, vale ressaltar a Bundesdatenchutzgesetz, uma lei federal alemã sobre a proteção de dados de 1977, onde, na Alemanha, desde aquela época, “já existia uma cultura de proteção de dados e diversos Länder possuíam suas próprias leis e estruturas administrativas de proteção aos dados pessoais” (Doneda, 2020).
No Brasil, o tema é mais recente. Dentre algumas leis que abordam a proteção de dados, tem-se a Lei nº 8.078/1990, que dispõe sobre o Código de Defesa do Consumidor, a qual abarca em seu art. 43 que “o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes” (Brasil, 1990). No parágrafo 2º do referido artigo há a previsão de que “a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele” (Brasil, 1990).
No mesmo sentido tem-se a Lei nº 12.965/2014, nomeadamente Marco Civil da Internet, a qual elenca a proteção da privacidade e a proteção e dados pessoais como fundamentos do uso da internet no Brasil (Brasil, 2014).
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) entrou em vigor de forma escalonada. Uma parte entrou em vigor no mês de setembro de 2020, e as sanções administrativas entraram em vigência no mês de agosto de 2021. Nesse sentido, calha clarear que a legislação se encontra plenamente em vigor, devendo suas disposições serem observadas. Muito embora trata-se de uma legislação que aborda sobre proteção de dados, deve ser observado que:
[..] apesar de não versar somente sobre tratamento de dados no âmbito da internet, foi criada visando a proteção de liberdades, aplicação da autodeterminação informativa e de outros fundamentos, vetorizando proteger a privacidade e intimidade ligadas aos dados individuais, seguindo a vontade dos que defendem a criação de leis para regulamentar as práticas de fluxos de dados, inclusive na web (Aliceda, 2021, p. 172)
Assim, a LGPD versa sobre o tratamento de dados pessoais, devendo ser observada tanto nos meios físicos quanto digitais, seja por pessoa física ou por pessoa jurídica de direito público ou privado (art. 1º). A intenção é proteger os direitos fundamentais esculpidos na Constituição Federal de 1988, como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1º). Cabe ressaltar que:
O direito à privacidade atualmente apresenta seu caráter individualista e exclusivista diluídos, e assume feições de uma disciplina na qual merecem consideração a liberdade e o livre desenvolvimento da personalidade. Nesse panorama, a proteção de dados pessoais assume o caráter de um direito fundamental (Doneda, 2020).
Recentemente, a proteção de dados pessoais foi acrescentada ao rol de direitos e garantias fundamentais, fixando a competência privativa da União para legislar sobre a matéria, sendo incorporada no artigo 5º da Constituição Federal de 1988.
É relevante pontuar que a privacidade, atualmente, tem ganhado novos contornos e nuances considerando o processo tecnológico e computacional que permitiu o nascimento de um novo ambiente, o digital. Nesse “novo mundo” que desconhece fronteiras e as informações se disseminam de forma instantânea, a privacidade foi impactada de forma abrupta. A soma dos dados pessoais deixados nos mais diversos ambientes digitais somado ao uso da Inteligência Artificial pode gerar manipulações e discriminações. Segundo Danilo Doneda (2020):
As demandas que agora moldam o perfil da privacidade são de outra ordem, relacionadas à informação pessoal e condicionadas pela tecnologia. A exposição indesejada de uma pessoa aos olhos alheios se dá hoje com maior frequência através da divulgação de seus dados pessoais do que pela intrusão em sua habitação, pela divulgação de notícias a seu respeito na imprensa, pela violação de sua correspondência – enfim, pelos meios outrora “clássicos” de violação da privacidade (Doneda, 2020).
A LGPD é uma legislação principiológica, pois comporta princípios próprios, como a finalidade, adequação, necessidade, livre acesso, transparência e a segurança. Desta feita, é necessário considerar que:
Os três primeiros princípios dispostos na LGPD (finalidade, adequação e necessidade) são umbilicalmente conexos, formando, juntamente com a transparência, o cerne dessa norma jurídica, determinantes para o respeito da proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, por meio da tutela dos dados pessoais (Vainzof, 2020).
Ademais, a LGPD elencou como um de seus fundamentos o respeito à privacidade (art. 2º, I). Todavia, não há de se confundir proteção de dados pessoais com privacidade, muito embora ambas revistam a roupagem de direito fundamental, esta é fundamento daquela. Assim, deve ser considerado que:
A dinâmica de proteção dos dados pessoais foge à dicotomia do público e do privado, diferenciando-se substancialmente do direito à privacidade. Propugnar que o direito à proteção dos dados pessoais seria uma mera evolução do direito à privacidade é uma construção dogmática falha que dificulta a sua compreensão (Bioni, 2019).
A proteção de dados pessoais encontra-se interligada a uma gama de liberdades individuais que não englobam a esfera do direito à privacidade, devendo a proteção de dados ser designado como uma nova espécie dos direitos fundamentais (Bioni, 2019).
- A RESOLUÇÃO CD/ANPD nº 2/2022 E SUA APLICABILIDADE AOS AGENTES DE PEQUENO PORTE DO SETOR HOTELEIRO
Para compreender a aplicação da Lei Geral de Proteção de Dados Pessoais aos agentes de pequeno porte do setor hoteleiro, é imprescindível pincelar sobre as micro e pequenas empresas no Brasil, de forma a contextualizar dados estatísticos que demonstrem a importância destas para a economia nacional, bem como visualizar o tratamento jurídico que estas recebem.
2.1 Panorama sobre as micro e pequenas empresas no Brasil
O Brasil comporta números expressivos de pequenos negócios, compostos por microempreendedores individuais (MEI) e micro e pequenas empresas (MPE), sendo estes responsáveis por 99% dos estabelecimentos totalizados no Brasil (Sebrae, 2020).
Segundo o Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae, 2021), mesmo em período de pandemia, o Brasil teve um número expressivo de abertura de pequenos negócios no primeiro semestre do ano de 2021, superando os mesmos períodos do ano de 2015 adiante. O número revelado de criação desses pequenos negócios chegou ao patamar de 2,1 milhões (Sebrae, 2021). Ainda, a pesquisa do Sebrae revela que o primeiro semestre de 2021, em comparação com o mesmo período do ano anterior, obteve crescimento no número de microempreendedores individuais e pequenas empresas, sendo que as microempresas tiveram o aumento de 46%, passando de 267, mil para 390,4 mil (Sebrae, 2021). De acordo com o levantamento do Sebrae:
Já entre os microempreendedores individuais, que correspondem a 68% dos 18,4 milhões de pequenos negócios brasileiros, o aumento foi de aproximadamente 34%, passando de 1,2 milhão para 1,6 milhão de negócios formalizados no período referido. Entre as empresas de pequeno porte houve um aumento de cerca de 46%. No primeiro semestre de 2020 haviam sido abertas 267 mil e no primeiro semestre desse ano foram 390 mil (Sebrae, 2021).
Destaca-se que, em 2021 foram formalizadas mais de 3,9 milhões de micro e pequenas empresas e microempreendedores individuais, representando um aumento de 19,8% em comparação com o ano anterior que registrou a abertura de 3,3 milhões pequenos negócios, segundo Sebrae (Agência Brasil, 2022).
Quanto aos dados referentes ao setor hoteleiro, direcionado, mais precisamente, para os que se enquadram na modalidade de pequeno porte, foram encontrados dados referentes ao ano de 2016. Segundo o Instituto Brasileiro de Geografia e Estatística (IBGE):
A análise da composição do setor de hospedagem, baseada no porte dos estabelecimentos, indica que 84,6% dos estabelecimentos de hospedagem no Brasil possuíam até 49 unidades habitacionais. O grupo de 10 a 19 unidades habitacionais apresentava a maior participação com 32,0% do total, seguido do grupo de 20 a 29 unidades com 21,3% e do de 30 a 49 unidades habitacionais com 17,7%. Os estabelecimentos de hospedagem de maior porte, isto é, com 50 ou mais unidades, representaram 15,4% do total (IBGE, 2016).
Para visualizar esses dados de forma pontual, considerando alguns estados brasileiros, quanto a concentração dos estabelecimentos hoteleiros de pequeno porte, o IBGE destacou que:
Os resultados da pesquisa indicaram que os estabelecimentos de menor porte, com até 19 unidades habitacionais, estavam mais concentrados em Roraima, com 56,7% dos estabelecimentos, no Piauí, com 56,1% e no Ceará, com 54,4%. Para os estabelecimentos com 50 ou mais unidades habitacionais, Distrito Federal registrou a maior participação nas redes de hospedagem das Unidades da Federação, com 36,3% (IBGE, 2016).
Para vislumbrar um panorama mais geral sobre a temática, segue abaixo um gráfico elaborado pelo IBGE:
Conforme demonstrado, é perceptível que as micro e pequenas empresas representam uma quantidade expressiva de negócios formalizados no Brasil, sendo responsáveis por boa parte da criação de empregos formais em 2021, mais precisamente, 71% dos postos de trabalho (Máximo, 2021).
2.2 As micro e pequenas empresas sob a ótica do ordenamento jurídico pátrio
O setor hoteleiro de pequeno porte, como observado, também compõe importante estrutura para a economia nacional, e se valem de tecnologias e da internet para aprimorar seus serviços. Logo, deve ser observado que esses negócios, pequenos individualmente, mas grande se somados em sua totalidade, possuem desafios e dificuldades que precisam ser superados. Nesse sentido, o sistema jurídico pátrio concede às micro e pequenas empresas tratamentos diferenciados, de forma a cumprir os preceitos constitucionais pátrio (art. 170, IX e art. 179, CF).
Segundo o inciso IX, do art. 170 da Constituição Federal de 1988, um dos princípios da ordem econômica é “o tratamento favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras e que tenham sua sede e administração no País”. Conforme os ditames do artigo 179 da CF:
A União, os Estados, o Distrito Federal e os Municípios dispensarão às microempresas e às empresas de pequeno porte, assim definidas em lei, tratamento jurídico diferenciado, visando a incentivá-las pela simplificação de suas obrigações administrativas, tributárias, previdenciárias e creditícias, ou pela eliminação ou redução destas por meio de lei (Brasil, 1988).
Nesse sentido, foi criada a Lei Complementar nº 123, de 14 de dezembro de 2006, que institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte, estabelecendo, no art. 1º, “[…] normas gerais relativas ao tratamento diferenciado e favorecido a ser dispensado às microempresas e empresas de pequeno porte no âmbito dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios […]” (Brasil, 2006).
Importante ressaltar a conceituação de microempresa e empresa de pequeno porte contida na supramencionada legislação, a qual preceitua que:
Art. 3º Para os efeitos desta Lei Complementar, consideram-se microempresas ou empresas de pequeno porte, a sociedade empresária, a sociedade simples, a empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei no 10.406, de 10 de janeiro de 2002 (Código Civil), devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, conforme o caso, desde que:
I – no caso da microempresa, aufira, em cada ano-calendário, receita bruta igual ou inferior a R$ 360.000,00 (trezentos e sessenta mil reais); e
II – no caso de empresa de pequeno porte, aufira em cada ano-calendário, receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais).
Esse tratamento diferenciado desvela-se relevante para o impulsionamento da economia brasileira, sendo proporcional às estruturas que edificam os pequenos negócios à luz do princípio da igualdade. Aplica-se, então, a máxima aristotélica “devemos tratar igualmente os iguais e desigualmente os desiguais, na medida de sua desigualdade”.
2.3 Os agentes de pequeno porte do setor hoteleiro e a adequação à LGPD
Os dados pessoais constituem-se num dos sólidos pilares que edificam a estrutura da economia atual. Por meio dos dados pessoais as empresas podem elaborar um planejamento mais assertivo para conquistar metas e soluções, elaborar material de marketing, detectar preferências de seus clientes, descobrir potenciais negócios etc. Enfim, é possível mapear uma série de fatores e pessoas, com o intuito de redirecioná-los para a concretização de um determinado negócio.
Se por um lado pode parecer uma benesse no sentido de fortalecer as negociações e simplificar o caminho a ser percorrido durante todo o processo de identificação de clientes e negócios, por outro lado, há o risco de acarretar manipulações e violações de direitos fundamentais protegidos constitucionalmente.
Nesse sentido, o Brasil criou a Lei nº 13.709, de 14 de agosto de 2018, denominada por Lei de Geral de Proteção de Dados Pessoais (LGPD), para assegurar os direitos fundamentais, destacando-se a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural. A intenção é regulamentar o tratamento de dados pessoais e evitar violações de direitos. Nesse sentido, importante mencionar que “os direitos da personalidade não representam somente uma inovação no ordenamento jurídico brasileiro, trata-se, também, de um componente central de uma nova hermenêutica que coloca o ser humano como o “coração do direito civil contemporâneo” (Bioni, 2019).
A LGPD teve sua criação inspirada no Regulamento (UE) 2016/679, nomeadamente Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia e, por isso, muito se assemelha a esta.
Nos moldes da LGPD, as pessoas jurídicas de direito público e privado devem observar a legislação, bem como as pessoas físicas que tratam dados pessoais com fins econômicos também devem se adequar à lei.
Antes da advinda da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que aprovou a flexibilização e dispensou algumas regras no que se refere à aplicação da LGPD para os agentes de tratamento de pequeno porte, estes estavam obrigados a seguir a regra geral sob pena de descumprimento da lei e, consequentemente, ser afetados por sanções administrativas.
A Resolução CD/ANPD nº 2/2022 delineou em seu artigo 2º, os agentes de tratamento de pequeno porte definindo-os como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, incluindo as sem fins lucrativos, sociedade limitada unipessoal, microempreendedor individual, pessoas naturais e entes privados despersonalizados que tratam dados pessoais (ANPD, 2022). Abrange, ainda, as sociedades simples, sociedades empresárias, sociedades unipessoais registradas no órgão competente, nos moldes da Lei Complementar nº 123/2006 (ANPD, 2022).
Calha clarear que as pequenas empresas são aquelas que possuem faturamento anual de até R$ 4,8 milhões, podendo ter até 99 funcionários na indústria ou 49 funcionários no comércio. Quanto as microempresas, estas poderão faturar anualmente até o valor de R$ 360 mil e possuir o limite máximo de 19 funcionários. No que se refere ao microempreendedor individual, este está limitado ao faturamento anual que não ultrapasse o valor de R$ 81 mil, optante pelo Simples Nacional e ter 1 funcionário. Destaca-se que esses valores se encontram estabelecidos pela Lei Complementar nº 123/2006 (Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte).
Quanto as startups, deve ser observado os ditames previstos pela Lei Complementar nº 182/2021, nomeadamente Marco Legal das Startups (ANPD, 2022), que define startups nos moldes de seu art. 4º, sendo elegível para tal tratamento especial, “o empresário individual, a empresa individual de responsabilidade limitada, as sociedades empresárias, as sociedades cooperativas e as sociedades simples”: (I) cujo faturamento bruto anual não exceda ao valor de R$ 16 milhões no ano calendário anterior ou R$ 1.333.334,00, “multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada”; (II) empresas com inscrição no Cadastro Nacional de Pessoa Jurídica da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia, com até 10 anos, e; (III) que utilizem modelos de negócios pautados na inovação para a geração de produtos ou serviços ou que se enquadre no regime especial Inova Simples (Brasil, 2021).
O setor hoteleiro de pequeno porte – estando as pousadas também sob a análise deste estudo – pode se amoldar nas definições de agente de pequeno porte, desde que preenchido os requisitos para tanto. Caso se enquadre na modalidade de agente de pequeno porte, pode ser beneficiado com as previsões da Resolução CD/ANPD nº 02/2022, ressalvado quando trata dados de natureza sensível, lida com grande volume de operações ou que estas tendem a gerar riscos para os titulares, o que será tratado mais adiante.
Sobre as flexibilizações e a dispensa de obrigações contidas na Resolução CD/ANPD nº 02/2022, consta: I) simplificação da elaboração e manutenção do Registro de Operações de Tratamento, também denominado inventário ou ROPA, sendo que o modelo de registro simplificado será fornecido pela ANPD (art. 9º); II) comunicação de incidentes de segurança de forma simplificada, a qual a ANPD ainda vai dispor por meio de regulamentação específica (art. 10); III) dispensa da obrigatoriedade de nomeação do encarregado de proteção de dados, sendo a indicação considerada pela ANPD, neste caso, boa prática de governança, mas, todavia, deve-se disponibilizar um canal de comunicação com o titular dos dados para que exerçam seus direitos (art. 11); IV) simplificação na elaboração da Política de Segurança da Informação, que verse sobre os requisitos necessários e essenciais no que se refere ao tratamento de dados pessoais, considerando os custos de implementação, a estrutura, escala e volume das operações (art. 13); V) concede prazo em dobro para responder as solicitações dos titulares de dados pessoais, nos termos de regulamentação específica, para comunicar à ANPD e ao titular quando ocorrer incidentes de segurança tendentes à gerar riscos ou danos relevantes aos titulares, nos moldes do Regulamento de Comunicação de Incidente de Segurança, para fornecer declaração clara e completa, e quando solicitados pela ANPD a apresentação de informações, documentações, relatórios e registros (art. 14) (ANPD, 2022). Já nos moldes do artigo 12, da Resolução CD/ANPD nº 2/2022:
Art. 12 Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento (ANPD, 2022).
É pertinente trazer à baila que a resolução flexibiliza algumas regras e desobriga aos agentes de tratamento de pequeno porte de outras, sem, contudo, violar ou enfraquecer os direitos dos titulares. A intenção primordial é conceder tratamento diferenciado a esses agentes de forma que eles possam cumprir os preceitos da legislação de acordo com as estruturas de seu negócio.
Todavia, é necessário se ater às exceções que as regras comportam no que se referem aos benefícios da Resolução CD/ANPD nº 02/2022. De acordo com o Título IV, das Disposições Finais:
A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares (ANPD, 2022).
Preliminarmente cabe salientar que o setor hoteleiro de pequeno porte precisa estar em consonância com os moldes da legislação, tendo em conta que a obtenção da receita bruta e a quantidade de funcionários não podem ultrapassar o limite legal de acordo com a lei pertinente (Lei nº 123/2006 ou Lei nº 182/2021).
De acordo com a Resolução CD/ANPD nº 2/2022 (art. 4º), configura-se tratamento de alto risco para os titulares, o tratamento que conter simultaneamente, pelo menos, um dos critérios gerais e um dos critérios específicos. Compõe os critérios gerais (art. 4º, I): “a) tratamento de dados pessoais em larga escala; ou b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares” (ANPD, 2022). Aqui, cabe pontuar que, de acordo com o art. 16, da Resolução em comento:
Art. 16 A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Para que o tratamento de dados pessoais seja considerado em larga escala, deve alcançar um expressivo número de titulares de dados, devendo observar “o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado” (ANPD, 2022). No que se refere ao tratamento de dados tendente a impactar de forma significativa os interesses e direitos fundamentais, este será caracterizado, segundo o art. 4, § 2º, da Resolução CD/ANPD nº 2/2022:
[…] dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Quantos aos critérios específicos, têm-se (art. 4º, II, da Resolução):
a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos (ANPD, 2022).
Uma das nuances a ser observada é o tratamento de dados pessoais sensíveis – considerados assim, pois podem gerar discriminações e danos graves aos direitos e liberdades do titular –; bem como os dados pessoais de crianças, adolescentes ou idosos. Se um hotel, mesmo que se enquadre nos moldes de pequeno porte, caso cumule, por exemplo, coleta de dados de crianças, adolescentes ou idosos em larga escala, não poderá ser beneficiado pela Resolução em estudo.
Ainda, há de se observar que “o tratamento de dados pessoais que possam revelar dados sensíveis também deve ser realizado adotando-se as mesmas regras e padrões mais restritivos, uma vez que, como resultado do tratamento serão obtidos dados sensíveis” (Lima, 2020). No mesmo sentido deve-se ter cautela no tratamento de dados pessoais em larga escala de forma automatizada, pois há a tendência de gerar processamento de dados sensíveis (Vainzof, 2020).
Destarte, é relevante analisar caso a caso durante a implementação da LGPD aos hotéis de pequeno porte, pois existem situações que impedem a aplicação da Resolução CD/ANPD nº 02/2022. O fato é que, de todos os modos, é necessária e obrigatória a adequação destes à LGPD, sob pena de o estabelecimento receber as sanções administrativas previstas pela LGPD (art. 52), as quais podem variar desde uma advertência, até a multa de até 2% do faturamento anual da empresa, excluídos os tributos, não podendo ultrapassar o valor de cinquenta milhões de reais por infração (Brasil, 2018).
CONCLUSÃO
As empresas de pequeno porte inseridas no setor hoteleiro necessitam e devem estar em conformidade com a Lei Geral de Proteção de Dados Pessoais, a LGPD, considerando que tratam dados pessoais de seus hóspedes, funcionários, fornecedores, entre outros que são necessários para o bom funcionamento do negócio.
No entanto, as empresas do setor hoteleiro classificadas como de pequeno porte encontram um tratamento diferenciado com bases constitucionais, uma vez que a Constituição Federal de 1988 abarca tal tratamento voltado para as micro e pequenas empresas. Nesse contexto ingressa a Resolução CD/ANPD nº 2/2022, que aprovou a aplicação da LGPD voltada aos agentes de tratamento de pequeno porte, a qual comporta exceções a sua aplicabilidade, conforme visto neste estudo.
Assim sendo, a viabilidade de enquadramento de um negócio do setor hoteleiro de pequeno porte à Resolução CD/ANPD nº 2/2022, a qual permite o tratamento diferenciado na adequação deste à LGPD, exige análise pormenorizada do negócio para saber se realmente este poderá se beneficiar de tal legislação privilegiada, visto que tais benefícios se mostram como um diferencial competitivo importante para estas empresas.
REFERENCIAS BIBLIOGRÁFICAS:
AGÊNCIA BRASIL. Quase 4 milhões de novos negócios foram abertos em 2021. Publicado em: 16 de fev. de 2022. Brasília. Disponível em: <Quase 4 milhões de novos negócios foram abertos em 2021 | Agência Brasil (ebc.com.br)>. Acesso em: 06 de mar. de 2022.
ALICEDA, Rodolfo Ignácio. Arquiteturas de controle previstas na LGPD e sua aplicação às inteligências artificiais. Empresas e implementação da Lei Geral de Proteção de Dados. Coordenador Tarcisio Teixeira. Salvador: Editora JusPodivm, 2021.
ARISTÓTELES. Ética a Nicômaco. Tradução Mário Gomes Kury. 4ª ed. Brasília: Editora Universidade de Brasília, 2001.
BASAN, Arthur Pinheiro. Publicidade digital e proteção de dados pessoais: o direito ao sossego. [livro eletrônico]. Indaiatuba, SP: Editora Foco, 2021.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. [livro eletrônico]. Rio de Janeiro: Forense, 2019.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República. Disponível em: <Constituicao-Compilado (planalto.gov.br)>. Acesso em: 06 de mar. de 2022.
BRASIL. Lei Complementar nº 123. De 14 de dezembro de 2006. Institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte. Disponível em: <Lcp 123 (planalto.gov.br)>. Acesso em: 06 de mar. de 2022.
BRASIL. Lei Complementar nº 182, de 1º de junho de 2021. Institui o marco legal das startups e do empreendedorismo inovador. Disponível em: <Lcp 182 (planalto.gov.br)>. Acesso em: 07 de mar. de 2022.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Disponível em: <L8078compilado (planalto.gov.br)>. Acesso em: 07 de mar. de 2022.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Marco Civil da Internet. Disponível em: <L12965 (planalto.gov.br)>. Acesso em: 07 de mar. de 2022.
DONEDA, Danilo Cesar Maganhoto. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. [livro eletrônico] 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
IBGE. Pesquisa de serviços e hospedagem: 2016/IBGE. Coordenação de Serviços e Comércio. Rio de Janeiro: IBGE, 2017. Disponível em: <liv100623.pdf (ibge.gov.br)>. Acesso em: 06 de mar. de 2022.
LIMA, Caio César Carvalho. Capítulo II: Do Tratamento de Dados Pessoais. LGPD: Lei Geral de Proteção de Dados comentada [livro eletrônico]. Coordenadores Viviane Nóbrega Maldonado e Renato Opice Blum. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2020.
MÁXIMO, Wellton. Pequenos negócios geraram 71% dos empregos até setembro. Publicado em: 29 de out. de 2021. Agência Brasil. Brasília. Disponível em: <Pequenos negócios geraram 71% dos empregos até setembro | Agência Brasil (ebc.com.br)>. Acesso em: 06 de mar. de 2022.
SEBRAE. Sebrae aponta que pequenas empresas geram mais empregos no Brasil. Publicado em: 27 de fev. de 2020. Edição Caroline Machado da equipe de estágio RIC Mais, sob a supervisão de Renata Nicolli Nasrala. Disponível em: <Sebrae aponta que pequenas empresas geram mais empregos no Brasil – Portal do Desenvolvimento Local>. Acesso em: 06 de mar. de 2022.
SEBRAE. Abertura de empresas bate recorde no primeiro semestre de 2021. Agência Sebrae de Notícias. Publicado em: 26 de ago. de 2021. Disponível em: <ASN – Abertura de empresas bate recorde no primeiro semestre de 2021 (agenciasebrae.com.br)>. Acesso em: 06 de mar. de 2022.
VAINZOF, Rony. Capítulo I: Disposições Preliminares. LGPD: Lei Geral de Proteção de Dados comentada [livro eletrônico]. Coordenadores Viviane Nóbrega Maldonado e Renato Opice Blum. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2020.
Citas
[1] Advogada especialista em privacidade e proteção de dados. Mestre em Literatura Comparada pela Universidade Federal da Integração Latino-Americana – UNILA. Coordenadora do curso de Direito e do Núcleo de Práticas Jurídicas do CESUFOZ. Professora de Direito. Cofundadora do Direito Talks. Presidente da Comissão de Direito Digital e Proteção de Dados da OAB Subseção Foz do Iguaçu (triênio 2022/2024). Membro Correspondente da Comissão Especial de Privacidade, Proteção de Dados e Inteligência Artificial da Seção São Paulo. (triênio 2022/2024). Membro Titular do Comitê de Proteção de Dados do Instituto Brasileiro de Consumidores e Titulares de Dados – IBCTD. https://orcid.org/0000-0003-1119-7972 e-mail: aichaeroud@hotmail.com
[2] Advogado, especialista em Direito Digital e Compliance. Mestre e Doutorando em Direito Universidade do Vale do Rio dos Sinos – UNISINOS. https://orcid.org/0000-0002-9519-2492 e-mail: fbvecchio@hotmail.com
Figura 1
Fonte: IBGE, Diretoria de Pesquisas, Coordenação de Serviços e Comércio, Pesquisas de Serviços de Hospedagem 2016.