Pequenas empresas ganham orientação sobre LGPD
ANPD divulga primeira versão de modelo voltado a agentes de tratamento de pequeno porte
Uma primeira versão do modelo de registro das atividades de tratamento de dados pessoais para agentes de tratamento de pequeno porte (ATPP) foi divulgada pela Agência Nacional de Proteção de Dados (ANPD). O modelo é importante para orientar esses agentes – geralmente, pequenas empresas – sobre como prestar informações sobre o tratamento de dados pessoais que eles fazem, e foi bem recebido pelos especialistas.
A prestação dessas informações é uma das exigências da Lei Geral de Proteção de Dados (LGPD), que determina que todos os agentes de tratamento registrem num documento todas as operações que envolvem o tratamento de dados pessoais. Para os ATPP, cumprir com os requisitos da lei pode ser difícil, já que geralmente eles não possuem tantos recursos tecnológicos, jurídicos e humanos para elaborar esses documentos.
“A elaboração de um modelo simplificado pela ANPD, além de oferecer segurança jurídica aos agentes de tratamento de pequeno porte, assegura que estes agentes possam elaborar os registros das operações de tratamento de dados pessoais de maneira objetiva, preenchendo as informações que são solicitadas no modelo, servindo como uma referência de como deve ser a elaboração do documento. Não que seja uma tarefa simples, mas com certeza a publicação de um modelo orientativo os auxiliará muito a cumprir a determinação legal”, consideram os advogados Flavia Meleras e Renato Rossi Filho, consultora e associado do Vieira Rezende Advogados.
Para os ATPP, admite-se um registro simplificado – e é esse modelo que foi divulgado pela ANPD por meio da Nota Técnica 33/22. O modelo simplificado é uma planilha que traz instruções e exemplos de preenchimento, além de colunas para registro do tratamento. Na versão que foi para audiência pública, estas colunas pedem que sejam listados os tipos de dados pessoais tratados, quais são dados e dados pessoais sensíveis, a finalidade do tratamento, as fontes dos dados e o compartilhamento desses (se for o caso), as medidas de segurança adotadas para proteção etc. O modelo permanece em audiência pública até 3 de janeiro do ano que vem. Meleras e Rossi Filho não esperam muitas alterações na versão definitiva.
Sua adoção não é obrigatória, mas é uma boa prática, consideram os advogados Guilherme Guidi e Eugênio Corassa, associados do Freitas Ferraz Advogados. Eles lembram que o modelo não tem caráter vinculante e se assemelha aos guias orientativos produzidos pela entidade para orientar os agentes de tratamento. “No entanto, seguir um modelo proposto pela ANPD, uma vez aprovado, deve trazer maior segurança, uma vez que tal modelo refletirá o que a autoridade vê como ideal para cumprir determinada regra da LGPD”, dizem Guidi e Corassa.
Na entrevista abaixo, Meleras, Rossi Filho, Guidi e Corassa abordam a importância do modelo divulgado pela ANPD.
– O que é o Registro das Atividades de Tratamento de Dados Pessoais e quais as suas particularidades com relação a agentes de tratamento de pequeno porte?
Flavia Meleras e Renato Rossi Filho: O registro de atividades de tratamento de dados pessoais ou registro de operações de tratamento de dados pessoais (também conhecido como Ropa, sigla para record of processing activities), nada mais é um documento que registra todas as operações que envolvam o tratamento de dados pessoais realizadas pelo controlador e pelo operador, contendo informações como: quais dados pessoais são tratados na operação, qual base legal justifica o tratamento, qual a finalidade, entre outras informações essenciais que garantem ao agente de tratamento verificar a conformidade daquela operação em relação às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) – o que traz maior transparência para a organização e facilita o cumprimento do princípio da responsabilização e prestação de contas.
Esse registro está previsto no artigo 37 da LGPD, que estabelece que os controladores e operadores deverão realizar, especialmente quando o tratamento for baseado no legítimo interesse. Esse registro pode se dar das mais diferentes formas, mas a mais comum será eletrônica.
É importante ressaltar que a LGPD não traz nenhuma regra sobre como deve ser o formato ou o preenchimento do documento. Diante disso, muitas organizações, em seus projetos de adequação às disposições da LGPD, basearam-se nas regras do Regulamento Geral de Proteção de Dados (RGPD), que em seu artigo 30 traz alguns elementos que devem constar nos registros, e também nos modelos disponibilizados pela Information Commissioner’s Office (ICO) e a Commission Nationale de L’informatique et des Libertés (CNIL), autoridades de proteção de dados do Reino Unido e da França, respectivamente.
O registro de operações de tratamento de dados pessoais tem uma relação especial com os agentes de tratamento de pequeno porte, pois a Resolução 02/22 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) flexibilizou algumas regras para os chamados agentes de tratamento de pequeno porte. Uma dessas flexibilizações foi que tais agentes cumprissem a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada (artigo 9º), sem, contudo, explicar como seria essa forma de elaboração do documento. Porém, a mesma Resolução trazia a disposição de que o registro de maneira simplificada seria baseado em um modelo a ser fornecido pela ANPD.
Guilherme Guidi e Eugênio Corassa: O registro das atividades de tratamento de dados pessoais é, em suma, o inventário dos fluxos e operações que envolvem dados pessoais nas organizações, também conhecido como Inventário de Dados, Mapa de Dados ou ROPA (record of processing activities). Esse documento, em suma, é uma foto de todas as operações de uma empresa que envolvem dados pessoais, incluindo, por exemplo, desde a coleta de dados em um formulário online até o armazenamento desses dados para fins de cumprimento de obrigações legais. No caso, a Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe a obrigatoriedade de manutenção desse registro em seu artigo 37.
Com relação aos agentes de pequeno porte, apesar de não estarem desobrigados dessa atividade, gozam de alguns benefícios. Vale lembrar que dentre os fundamentos da lei estão incluídas a livre iniciativa, a livre concorrência e o desenvolvimento econômico e tecnológico, de forma que a lei não deve representar um empecilho para a inovação e para o desenvolvimento empresarial.
Dessa forma, a Resolução CD/ANPD nº 2, de janeiro de 2021, já dispõe que os agentes de tratamento de pequeno porte, dentre os quais estão incluídas as startups e pequenas empresas, podem cumprir a obrigação legal de forma simplificada a partir de modelos fornecidos pela ANPD, modelos que justamente estão em discussão.
– O que a Nota Técnica 33 da ANPD propõe com relação a esse registro? Dado que o modelo de registro passou por audiência pública, ele deverá mudar muito?
Flavia Meleras e Renato Rossi Filho: A função principal da Nota Técnica 33 é dar continuidade ao procedimento de simplificação e flexibilização de algumas exigências aos agentes de pequeno porte, conforme a Resolução 02/22 do CD/ANPD, e também consolidar a previsão do artigo 55-J, inciso XVIII da LGPD, o qual prevê que compete à ANPD “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à legislação”.
Dessa forma, a ANPD, por meio de guias orientativos, notas técnicas e resoluções vem cumprindo seu papel educacional e orientativo em relação à proteção de dados pessoais no Brasil.
Entendemos que não ocorrerão mudanças significativas no modelo sugerido pela ANPD, pois ele está alinhado com as boas práticas internacionais – visto que a ANPD se baseou no modelo proposto pelas autoridades do Reino Unido e França. Trata-se de m modelo bem completo, adequado ao que foi proposto. Além disso, foram recebidas poucas contribuições na tomada de subsídios: foram submetidas 33 colaborações da sociedade civil. A título de comparação, na consulta pública sobre o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD foram recebidas 2.504 colaborações.
Guilherme Guidi e Eugênio Corassa: A Nota Técnica nº 33 da ANPD propõe-se a apresentar o novo modelo simplificado, seus fundamentos e demais peculiaridades, bem como objetiva abrir a discussão para a tomada de subsídios da sociedade brasileira sobre o modelo.
Com relação ao processo de tomada de subsídios, a ANPD visa buscar o amadurecimento sobre o melhor modelo de registro, de forma que os documentos produzidos pela autoridade sejam aprimorados a partir de sugestões e comentários da sociedade brasileira. Assim, é possível dizer que o modelo vai passar por mudanças, embora a sua essência, sua finalidade e forma devam se manter, sendo complementadas a partir de contribuições da sociedade.
– Com relação ao modelo de registro publicado na Nota Técnica 33, será simples a sua utilização por parte dos agentes de tratamento de pequeno porte?
Flavia Meleras e Renato Rossi Filho: Como dito, a LGPD não traz regras claras sobre como deveria ser feito o registro das operações de tratamento de dados pessoais. Por isso, a realização dessa atividade pode ser uma tarefa árdua, especialmente para os agentes de tratamento de pequeno porte, os quais, por realizarem operações de tratamento de dados de baixa complexidade e por não possuírem a seu alcance recursos tecnológicos, jurídicos e humanos suficientes para a elaboração de tais documentos, poderiam ter muitas dúvidas sobre o preenchimento do registro das operações de tratamento de dados pessoais, quais informações deveriam constar no documento, entre outros elementos.
A elaboração de um modelo simplificado pela ANPD, além de oferecer segurança jurídica aos agentes de tratamento de pequeno porte, assegura que estes agentes possam elaborar os registros das operações de tratamento de dados pessoais de maneira objetiva, preenchendo as informações que são solicitadas no modelo, servindo como uma referência de como deve ser a elaboração do documento. Não que seja uma tarefa simples, mas com certeza a publicação de um modelo orientativo os auxiliará muito a cumprir a determinação legal.
Guilherme Guidi e Eugênio Corassa: Consideramos que sua utilização será simples porque se trata de modelo pensado para facilitar o trabalho de adequação dos agentes de tratamento de pequeno porte. Ainda, como exposto na própria nota técnica da ANPD, inexistindo regulamentação específica sobre o tema, o modelo em questão não é pensado para ser estático, rígido ou vinculante. Nesse sentido, cabe aos agentes de tratamento a possibilidade de aplicá-lo à sua operação com vistas ao caso concreto, de forma que se adeque à realidade da organização e não como mera formalidade.
Em termos práticos, a própria planilha já conta com orientações acerca do seu preenchimento, facilitando ainda mais o trabalho de adequação e registro das operações de tratamento no caso dos ATPP. Isso não descarta, no entanto, a possibilidade de essas empresas contarem com profissionais especializados para auxiliarem na condução do mapeamento de dados, muitas vezes associado ao diagnóstico de conformidade e proposições para melhorias.
– A adoção do modelo de registro proposto pela ANPD é obrigatória? O que se recomenda às companhias?
Flavia Meleras e Renato Rossi Filho: Não, a adoção do modelo não será obrigatória. Conforme informado na própria redação da Nota Técnica 33, o “modelo não tem como objetivo ser rígido e vinculante, podendo ser incrementado e aprimorado pelos agentes de tratamento” e que “o modelo disponibilizado tem o intuito de se constituir como boa prática e auxiliar os ATPPs (agentes de tratamento de pequeno porte), não sendo o seu uso e preenchimento de todos os campos no formato proposto uma obrigação”.
Em sintonia com o viés orientativo que a ANPD vem adotando em suas atividades, até que o tema seja especificamente regulamentado pela autoridade – há a indicação sobre uma regulamentação futura na própria Nota Técnica 33 – o modelo proposto servirá com uma boa prática para auxiliar os ATPP e até mesmo os agentes que não se enquadram nessa definição, já que é um bem completo quando comparado com as boas práticas internacionais e modelos de autoridades estrangeiras. Uma recomendação interessante é que as organizações, especialmente aquelas que se enquadram como ATPP, se atentem aos elementos sugeridos pela ANPD no modelo, para validarem se os modelos ou softwares que utilizam internamente para a elaboração do registro das operações de tratamento de dados pessoais estão adequados em relação ao proposto pela autarquia. Como já mencionamos, embora não exista um caráter vinculativo no modelo proposto pela ANPD, o documento sugerido é a primeira orientação da autoridade sobre esse ponto e, portanto, é importante a sua análise e compreensão por parte das organizações que tratam dados pessoais em suas atividades cotidianas.
Guilherme Guidi e Eugênio Corassa: Embora não seja obrigatória, a adoção do modelo de registro proposto pela ANPD se trata de uma boa prática. Nesse sentido, o modelo não tem caráter vinculante, assemelhando-se aos guias orientativos já produzidos pela entidade, cuja finalidade nada mais é que trazer orientações aos agentes de tratamento. No entanto, seguir um modelo proposto pela ANPD, uma vez aprovado, deve trazer maior segurança, uma vez que tal modelo refletirá o que a autoridade vê como ideal para cumprir determinada regra da LGPD.
Vale lembrar que é obrigatório o registro das operações de tratamento de dados pessoais pelas organizações de acordo com o artigo 37 da LGPD. O que se recomenda é que as empresas façam proveito das ferramentas disponibilizadas pela ANPD, de forma a facilitar o seu trabalho e para garantir a adequação à LGPD.