Durante a celebração da Semana de Proteção de dados Pessoais, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD Nº 2/2022, a qual regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. As novas regras entraram em vigor no dia 28 de janeiro deste ano.

Talvez esta tenha sido a publicação da ANPD mais aguardada pelo mercado. O impacto desse Regulamento é gigantesco, uma vez que a grande maioria dos agentes de tratamento no Brasil enquadra-se nessa categoria, e até este momento, muitos ainda estavam receosos quanto à implantação da LGPD em seus negócios.

O Regulamento tem como objetivo simplificar algumas regras e desburocratizar a implantação da LGPD para os agentes que não possuem muitos recursos para investir nos processos de implantação, como é o caso das microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos (associações, fundações, organizações religiosas, partidos políticos etc.), bem como pessoas naturais que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

A ANPD identificou, por meio das audiências públicas realizadas sobre o tema, que ainda falta uma cultura de proteção de dados pessoais pelos agentes de pequeno porte e que o porte econômico destes pode dificultar a adequação aos ditames da LGPD. Além disso, ponderou a dificuldade de conformidade dos agentes de pequeno porte em relação à segurança da informação, que é um dos pilares da LGPD e demanda a adoção de medidas técnicas e de segurança adequadas por parte dos agentes de tratamento.

Dentre os procedimentos flexibilizados para estes agentes, destacam-se: (i) a indicação do encarregado pelo tratamento de dados pessoais (DPO) não é obrigatória para as empresas que se enquadram no Regulamento; (ii) prazo em dobro para o cumprimento das obrigações previstas na LPGD (como a resposta a titular, comunicação à ANDP); (iii) possibilidade de simplificação da política de segurança da informação, desde que garanta a proteção contra os principais incidentes, tais como acessos não autorizados, destruição, perda, alteração dos respectivos dados; e (iv) possibilidade de optar pelo atendimento das requisições dos titulares por meio eletrônico ou impresso.

O agente de tratamento que não fizer a nomeação do encarregado deverá disponibilizar um canal de comunicação com o titular de dados para aceitar reclamações e comunicações, prestar esclarecimentos e adotar as providências necessárias. De todo modo, eventual indicação será considerada política de boas práticas e governança na avaliação da ANPD e pesará sobre os critérios para eventual aplicação de sanção administrativa, o que demonstra que a fiscalização estará atenta à conformidade das empresas.

Especificamente em relação às questões de segurança da informação e boas práticas, a ANPD já disponibilizou uma guia orientativo com recomendações quanto às medidas administrativas e técnicas essenciais e necessárias a serem adotadas, sempre levando em consideração o nível de risco à privacidade envolvida e a realidade do agente de tratamento, possibilitando que estes estabeleçam políticas simplificadas, mas que contemplem requisitos essenciais para o tratamento dos dados.

Importante ressaltar que nem todo agente de pequeno porte pode se valer das flexibilizações previstas pela ANPD. Foram excluídos da aplicação do Regulamento aquelas empresas que (i) realizam tratamento considerado de alto risco para os titulares; (ii) aufiram receita bruta superior ao limite estabelecido pelo Marco Legal das Startups (16 milhões de reais/ano), ou pelo Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte (4,8 milhões de reais por ano); ou (iii) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites citados acima.

Segundo a ANPD, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico.

No que tange aos critérios gerais, resta previsto o tratamento de dados pessoais em larga escala ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares. O tratamento de larga escala é aquele que abrange número significativo de titulares, considerando o volume de dados envolvidos, duração, frequência e extensão geográfica do tratamento realizado.

Já em relação aos critérios específicos está o uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Veja que tais critérios são amplos e podem gerar muitas dúvidas no enquadramento dos agentes de pequeno porte, principalmente quando houver a combinação de fatores de natureza geral ou específica no tratamento de dados. Em decorrência disso e da possibilidade de a ANPD solicitar ao agente de pequeno porte a comprovação, no prazo de 15 dias, do seu devido enquadramento nas condições estipuladas para fruição dos benefícios previstos no regulamento, é indispensável a realização de uma análise cautelosa e consistente quanto à apuração dos elementos de enquadramento.

Além das hipóteses já previstas para exclusão da aplicação do Regulamento, a ANPD resguardou-se no direito de revogação quanto à dispensa ao cumprimento de alguns pontos simplificados da LGPD, a depender das circunstâncias relevantes de cada caso, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.

Apesar da facilitação em alguns pontos, o agente deverá sempre observar outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, e principalmente, os direitos dos titulares. Além disso, deve adotar boas práticas, identificadas como necessárias para promover a segurança no fluxo informacional da organização.

Fato é que a dispensa ou flexibilização das obrigações dispostas não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD. Nesse cenário, ainda que as empresas de pequeno porte estejam isentas de algumas obrigações e tenham outras flexibilizadas, é fundamental que realizem um levantamento consolidado e documentado dos critérios que lhe qualificam para fruição da aplicação simplificada da LGPD, e procurem se manter em conformidade com a lei dentro do possível, objetivando evitar fiscalizações dos órgãos reguladores e eventual aplicação de sanções pela ANPD.

Fonte: Trigueiro Fontes Advogados

https://trigueirofontes.com.br/?pagina=2022/fevereiro/artigo-04-de-fevereiro-2022