Resolução facilita cumprimento da LGPD
Um dos grandes temores das pequenas empresas com relação à Lei Geral de Proteção de Dados (LGPD) é o de não conseguirem se adequar às exigências, por não disporem dos recursos necessários. Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) flexibilizou, por meio da Resolução 02/22, as obrigações que devem ser cumpridas pelos agentes de tratamento de dados de pequeno porte, tais como microempreendedores, empresas de pequeno porte, startups e entidades sem fins lucrativos.
“A nova regulamentação da ANPD, ao dispor sobre regras diferenciadas, garante um equilíbrio entre o porte do agente e as obrigações regulatórias impostas pela legislação”, afirmam as advogadas Camila Borba Lefèvre e Flavia Meleras, respectivamente sócia e consultora de tecnologia e comunicação do Vieira Rezende Advogados.
Dentre as flexibilizações, estão a ausência da necessidade de esses agentes indicarem um encarregado de dados pessoais (data protection officer, DPO) e a adoção de procedimentos simplificados para a comunicação de incidentes de segurança e de registro de atividades de tratamento de dados. As advogadas ressaltam, entretanto, que é preciso analisar, caso a caso, se a empresa pode se beneficiar dessas flexibilizações, pois há exceções.
Na entrevista abaixo, Lefèvre e Meleras abordam os principais pontos da Resolução 02/22 da ANPD e explicam quem pode se beneficiar da flexibilização.
Quais tipos de empresas se enquadram como agentes de tratamento de dados de pequeno porte?
Camila Borba Lefèvre e Flavia Meleras: A Resolução CD/ANPD 2, de 27 de janeiro de 2022, define os agentes de pequeno porte como: microempresas ou empresas de pequeno porte (aquelas que se encaixam no conceito de empresa optante pelo Simples Nacional ou de Microempreendedor Individual, MEI, conforme legislação aplicável); startups (conforme definido pela legislação que regulou ou conceito de startup, conhecida como marco legal das startups, a Lei Complementar 182/21); entidades sem fins lucrativos (conforme definido na legislação aplicável); bem como pessoas naturais e entes privados despersonalizados.
Além de não precisarem indicar um encarregado pelo tratamento de dados pessoais, quais outros exigências os agentes de pequeno porte não precisam cumprir de forma integral?
Camila Borba Lefèvre e Flavia Meleras: A Resolução 2/22, de fato, libera os agentes de pequeno porte da necessidade de indicar um encarregado de dados pessoais (DPO), com a contrapartida de que sempre mantenham um canal aberto de comunicação com o titular de dados para exercício de direitos e para o cumprimento das demais atividades estabelecidas no artigo 41 da LGPD. Mas isso não significa que os agentes de pequeno porte não possam indicar um DPO. Pelo contrário: isso será considerado como boa prática.
A flexibilização também permite que os agentes de pequeno porte adotem procedimentos simplificados para a comunicação de incidentes de segurança e de registro de atividades de tratamento de dados. Os agentes de pequeno porte terão prazo em dobro para alguns procedimentos administrativos da ANPD, como para a comunicação de incidentes de segurança, bem como o prazo de atendimento de algumas das solicitações dos titulares (correção de dados incompletos, inexatos ou desatualizados). Outro ponto de flexibilização é a possibilidade de elaborarem uma política simplificada de segurança da informação, considerando os custos de implementação, a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
Startups, microempresas e pequenas empresas devem analisar se as flexibilizações se aplicam a elas? Ou todas já se beneficiam das flexibilizações automaticamente?
Camila Borba Lefèvre e Flavia Meleras: É preciso analisar caso a caso se a empresa pode se beneficiar das flexibilizações. O artigo 3º da Resolução 02/22 da ANPD traz a hipótese (exceção) em que o agente, ainda que seja considerado de pequeno porte, não poderá aplicar as regras simplificadas.
De forma geral, a nova resolução da ANPD não se aplica a organizações que realizam tratamento de dados pessoais de alto risco para os titulares. Do mesmo modo, não é válida para empresas que pertençam a grupos econômicos — de fato ou direito —, cuja receita global ultrapasse os limites mencionados.
Para que o tratamento de dados seja considerado de alto risco, é preciso que atenda, cumulativamente, a pelo menos um critério específico e um critério geral.
Os critérios gerais são: tratamento de dados pessoais em larga escala e tratamento com potencial para violar interesses e direitos fundamentais dos titulares.
Já os critérios específicos são: uso de tecnologias inovadoras; vigilância ou controle de áreas acessíveis ao público; tomada de decisões de forma automatizada, inclusive a criação de perfil de saúde, consumo ou de crédito do usuário; e tratamento de dados sensíveis, conforme definição da LGPD, ou dados de crianças, adolescentes ou idosos.
As flexibilizações permitidas pela Resolução 02/22 da ANPD são importantes para os agentes de tratamentos de dados de pequeno porte? De que forma?
Camila Borba Lefèvre e Flavia Meleras: A flexibilização já era bastante aguardada pelos agentes de tratamento, pois havia um certo grau de insegurança jurídica sobre o escopo das obrigações decorrentes da LGPD para empresas ou entidades de pequeno porte.
Um dos grandes desafios da adequação à LGPD é a conformidade das empresas menores, que muitas vezes não possuem recursos humanos, tecnológicos ou financeiros para colocar em prática tudo o que a lei exige. Entidades de menor porte acabavam não empreendendo qualquer esforço para a adequação.
A nova regulamentação da ANPD, ao dispor sobre regras diferenciadas, garante um equilíbrio entre o porte do agente e as obrigações regulatórias impostas pela legislação. A regulamentação ressalta que, independentemente do porte, cabe a todas as entidades cumprir com a LGPD.