A Autoridade Nacional de Proteção de Dados (ANPD) estabelece critérios diferenciados para organizações de menor porte, mas mantém rigor em relação ao tratamento de dados de alto risco.
O processo de adequação à Lei Geral de Proteção de Dados (nº 13.709/18, LGPD) poderá ser flexibilizado para as micro e pequenas empresas (MPEs), conforme regulamentação definida pelo Conselho Diretor da ANPD e publicada em janeiro deste ano por meio da Resolução CD/ANPD nº 2/22. As definições específicas para os pequenos negócios eram aguardadas desde que o órgão foi criado, em agosto de 2020.
As novas regras vieram para calibrar a regulação da LGPD de acordo com as possibilidades financeiras das empresas de menor porte, observa o diretor-fundador do Data Privacy Brasil e membro titular do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), Bruno Bioni. “Obviamente, um pequeno empresário não teria as mesmas condições de investimento de uma grande multinacional”.
O regulamento se aplica aos chamados agentes de tratamento de pequeno porte, perfil que abrange microempreendedores individuais, startups, microempresas, empresas de pequeno porte, pessoas jurídicas de direito privado (inclusive, sem fins lucrativos) e qualquer um (pessoa natural ou ente despersonalizado) que tenha assumido funções típicas de controle e operação relativas ao tratamento de dados pessoais.
“Na prática, entre outras flexibilizações, esses agentes passam a ter a opção de disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares por meio eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações”, cita o sócio de tecnologia do escritório Pinheiro Neto Advogados, Ciro Torres Freitas.
Os agentes de pequeno porte também ficaram desobrigados de nomear um encarregado pelo tratamento de dados pessoais, porém devem disponibilizar um canal de comunicação para os titulares dos dados. Além disso, terão prazos mais extensos para o atendimento de solicitações de titulares de dados pessoais e da ANPD, bem como para comunicar incidentes de segurança.
A ANPD definiu que, para os agentes de pequeno porte, os registros das operações de tratamento de dados poderão ser feitos de forma simplificada, utilizando um modelo de documento que será disponibilizado pelo próprio órgão.
Enquadramento e adequação
A flexibilização das regras prevista na regulamentação da ANPD só se aplica a agentes de pequeno porte que não realizam tratamento de dados de alto risco. Bioni esclarece que o órgão adotou um critério duplo, combinando a exigência relativa ao porte da empresa às suas práticas. “De nada adianta ser uma startup se tem tratamento de alto risco, se trata grande base de dados sensíveis como, por exemplo, na área da saúde”, considera. “Apesar de ser um agente econômico de pequeno porte, essa empresa não seria elegível para o tratamento diferenciado e mais flexibilizado porque a sua atividade demanda maior nível de compliance”.
Freitas chama atenção para dois conceitos trazidos na resolução: “tratamento em larga escala” e “tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares”. O advogado aponta que “na forma prevista no regulamento, o enquadramento de determinada atividade de tratamento de dados pessoais em qualquer desses critérios comporta uma margem interpretativa ampla, que acaba gerando incertezas”.
O advogado pontua que “essa dificuldade deve ser mitigada quando a ANPD divulgar guias e orientações para a avaliação do tratamento de alto risco, como previsto no próprio regulamento”. O órgão tem divulgado uma série de materiais ricos em esclarecimentos e exemplos, que facilitam a adequação das empresas e podem ser acessados gratuitamente no portal www.gov.br/anpd.
Neste momento, a prioridade das MPEs deve ser construir uma cultura organizacional voltada para a proteção de dados. Nesse sentido, Bioni esclarece que o principal gargalo é o elemento humano, sendo fundamental investir no treinamento do pessoal. Freitas reitera a importância de disseminar “a noção de que o dado pessoal pertence ao titular, de modo que o seu uso, o seu mero armazenamento e qualquer outra forma de tratamento só podem ocorrer sob as hipóteses autorizadas por lei”. Para tanto, a empresa deve compreender quais dados pessoais trata e se ajustar, eliminando de seus processos informações e operações desnecessárias.