Startups não precisarão ter encarregado para tratamento de dados

Agentes de tratamento de dados de pequeno porte, como microempresas e startups, não serão obrigados a indicar um encarregado pelo tratamento de dados pessoais, ao contrário dos demais agentes. A indicação desse profissional está prevista na Lei Geral de Proteção de Dados Pessoais (LGPD), mas foi flexibilizada recentemente por meio da Resolução 02/22, publicada no dia 27 de janeiro pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD). 

Conforme explica Débora Rosa de Liz, do Mírian Gontijo Advogados, o encarregado é o responsável por garantir a conformidade de uma organização pública ou privada à LGPD. A lei não determina se esse profissional deve ser uma pessoa física ou jurídica, funcionário interno ou terceiro contratado – essas especificações devem ficar a cargo de uma futura regulamentação. “É importante ressaltar, entretanto, que nas empresas em que não haverá a designação de um encarregado, a LGPD determinou que seja fornecido um canal de comunicação com o titular de dados”, ressalta Liz. 

Além disso, ainda que a exigência de contratação de um encarregado pelos agentes de tratamento de pequeno porte não seja obrigatória, sua indicação é considerada uma boa prática de governança, o que, em termos de adequação à LGPD e criação de uma cultura de proteção de dados, é muito importante, ponderam os advogados Camila Borba Lefèvre, Flavia Meleras Bekerman e Renato Rossi Filho, respectivamente sócia, consultora de tecnologia e comunicação e associado do Vieira Rezende Advogados. 

A Resolução 02/22 foi a primeira norma editada pela ANPD neste ano. Mas a agenda regulatória da autoridade deve abarcar muitos outros assuntos. Na entrevista abaixo, Liz, Lefèvre, Bekerman e Rossi Filho abordam os temas que devem ser regulamentados ao longo de 2022. 

---

A agenda da Autoridade Nacional de Proteção de Dados (ANPD) prevê, para 2022, a regulamentação dos direitos dos titulares de dados pessoais. Quais desses direitos devem ser regulamentados?

Camila Borba Lefèvre, Flavia Meleras Bekerman e Renato Rossi Filho: O artigo 18 da Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece onze direitos dos titulares de dados pessoais. 

Dentre os primeiros que poderão ser regulamentados, estão o direito à portabilidade de dados e o direito ao acesso aos dados pessoais, já que a lei prevê expressamente a regulamentação dos dois. Destacamos a regulamentação do direito à portabilidade como uma das principais, já que essa regra tem eficácia limitada (depende de regulamentação) e é muito importante para dar segurança jurídica aos agentes de tratamento. O direito à portabilidade tem uma importância significativa na economia digital, na qual as pessoas compartilham cada vez mais seus dados com plataformas, empresas, prestadores de serviços, entre outros.

Dentre os demais direitos, apenas o direito à confirmação da existência de tratamento e ao acesso aos dados pessoais têm prazos e formatos de resposta definidos na lei. Mas, mesmo assim, deverão, de forma direta ou indireta, necessitar da regulamentação da ANPD para o seu pleno exercício. Outros pontos que também merecem regulamentação ou esclarecimento pela ANPD são os artigos 18 (acesso e eliminação de dados), 20 (decisões automatizadas) e 23 (tratamento de dados pelo poder público).

Débora Rosa de Liz: A Portaria 11, de 27 de janeiro de 2021, estabeleceu a agenda regulatória para o biênio 2021-2022 da ANPD. A agenda prevê relatórios semestrais de acompanhamento das iniciativas regulamentares e estabelece dez temas prioritários para dedicação do órgão, dentre eles a proteção aos direitos dos titulares de dados pessoais (item 4), cujo cronograma prevê ações para o primeiro semestre de 2022. 

A LGPD estabeleceu uma estrutura legal que empodera os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos perante os controladores de dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular realizado pelo órgão ou entidade. A lei, por meio do artigo 6º, enumera os princípios da nova normativa, estabelecendo diversos direitos aos titulares de dados. Logo à frente, nos artigos 7º ao 16º, prevê direitos específicos e mais ainda nos artigos 18, 19, 20 e 23. Porém, existem hiatos que necessitam ser tratados pela ANPD na fase que se inicia neste semestre.

Assim, podemos citar o artigo 9º da LGPD, que prevê que o titular dos dados tem direito a informações “disponibilizadas de forma clara, adequada e ostensiva” sobre o tratamento de seus dados, mas não estabelece critérios objetivos para o cumprimento desse requisito. A partir da regulamentação pela ANPD, espera-se que sejam determinados os meios e protocolos específicos e objetivos sobre a divulgação de informações, orientando assim os controladores sobre a melhor forma de disponibilizar essas informações, reduzindo, inclusive, custos pertinentes à implementação pelas empresas. 

Além disso, o artigo 18, que trata dos direitos de requisição do titular em relação ao controlador, previsivelmente terá diretrizes mais claras sobre procedimentos como anonimização, bloqueio ou eliminação de dados desnecessários, bem como a respeito do pedido de portabilidade de dados. Este último está previsto no inciso V do referido artigo e depende expressamente de regulamentação da ANPD. 

Outra regulamentação necessária pela autoridade com relação aos direitos dos titulares de dados, com a previsão na lei (§3º do artigo 19), refere-se à requisição do titular de uma cópia eletrônica integral de seus dados pessoais, devendo observar os segredos comercial e industrial.

Já o artigo 23 dispõe que o tratamento de dados por pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Recentemente (em janeiro de 2022), a ANPD divulgou o Guia Orientativo para Tratamento de Dados Pessoais pelo Setor Público, que busca delinear parâmetros que possam auxiliar entidades e órgãos públicos nas atividades de adequação e de implementação da LGPD, suprindo a lacuna deixada no artigo 23 da lei. 

Essas regulamentações, conforme previsto no Relatório de Acompanhamento da ANPD, serão realizadas por meio de resoluções do órgão e até sua publicação poderão ser feitas consultas internas ou públicas, análise jurídica e deliberação pelo Conselho Diretor. 

---

Com relação ao encarregado de dados pessoais, o que ainda deverá ser esclarecido por meio de uma norma? 

Camila Borba Lefèvre, Flavia Meleras Bekerman e Renato Rossi Filho: Conforme o artigo 41, parágrafo 3º da LGPD, a ANPD “poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”. Ou seja, a própria lei indica que existem pontos que poderão ser regulamentados pela ANPD. 

A agência, por sua vez, já iniciou esse processo. Em 27 de janeiro deste ano, publicou a Resolução 02/22 do Conselho Diretor, que regulamenta o tratamento jurídico diferenciado para agentes de tratamento de pequeno porte, incluindo startups. Na referida norma, foi incluída a previsão de que os agentes de tratamento de pequeno porte não são obrigados a indicar um encarregado pelo tratamento de dados pessoais, devendo igualmente manter o canal de comunicação para o exercício dos direitos dos titulares. Entretanto, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte, conforme a resolução, será considerada política de boa prática e governança, o que, em termos de adequação à LGPD e criação de uma cultura de proteção de dados, é muito importante.

Acreditamos que, futuramente, a ANPD poderá regulamentar outros pontos na linha do que prevê o artigo 41, parágrafo 3º da LGPD, tratando sobre pontos específicos sobre a atuação do encarregado de tratamento de dados dentro das organizações e na sua relação com os titulares, assim como pontos práticos como os requisitos para que uma pessoa possa ser indicada como encarregado.

Débora Rosa de Liz: A ANPD publicou em maio do ano passado o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. Esse documento (a primeira publicação da ANPD) buscou estabelecer diretrizes para os agentes de tratamento, definindo as funções legais e os regimes de responsabilidades e trazendo exemplos. No documento, tratou também da figura do encarregado de dados. 

De acordo com o artigo 41 da LGPD, o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais. O encarregado é o responsável por garantir a conformidade de uma organização, seja ela pública ou privada, à LGPD. A lei não determina se esse encarregado deve ser pessoa física ou jurídica, funcionário interno ou terceiro contratado, ficando esse tema e outros sujeitos a futuras regulamentações, tendo por base o transcurso do tempo, as próprias adaptações do mercado e o comportamento dos controladores e dos titulares dos dados. 

A LGPD até então não tinha determinado em que circunstâncias uma organização deveria indicar um encarregado. Em 27 de janeiro de 2022, o artigo 11 da Resolução 02 (que aprova o regulamento para agentes de tratamento de pequeno porte) permitiu a não indicação de um encarregado de dados para agentes de pequeno porte (microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador). Entretanto, determinou que nas empresas em que não haverá a designação de um encarregado, seja fornecido um canal de comunicação com o titular de dados.

Conforme previsto no § 3º do artigo 41, as normativas da ANPD estão trazendo hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, como ocorreu agora com a Resolução 02/22. E ainda, conforme preconiza o mesmo dispositivo legal, poderá a ANPD estipular outras atribuições ao encarregado de proteção de dados, além daquelas já previstas no §2º do artigo 41. 

Ademais, a regulamentação do encarregado de dados está prevista na agenda da ANPD (item 8) com previsão de ocorrer neste primeiro semestre de 2022, sendo a Resolução 02/22 já esclarecedora sobre a obrigatoriedade do encarregado em agentes de tratamento de pequeno porte. Porém, não única, posto que no próprio artigo 16, a ANPD determina que poderá obrigar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.

---

No que consiste a transferência internacional de dados pessoais? O que ainda falta ser regulamentado a respeito desse aspecto? 

Camila Borba Lefèvre, Flavia Meleras Bekerman e Renato Rossi Filho: Segundo a LGPD, a transferência internacional é a “transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro”. Dentro desse contexto, é importante considerar que não é somente o envio de dados de um país para o outro que deve ser considerado como transferência, mas também atividades como o armazenamento de dados pessoais em países estrangeiros — algo muito comum em serviços de hospedagem em nuvem — e o acesso remoto a partir do exterior.

A LGPD estabelece, em seu artigo 33, oito hipóteses em que o tratamento internacional de dados pessoais será permitido, sendo que uma delas é o caso de o país de destino dos dados ter um grau de proteção de dados pessoais adequado ao previsto na LGPD. Por sua vez, o artigo 34 explica que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD, que observará, dentre outros critérios: a) as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; b) a natureza dos dados; c) a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos pela LGPD.

Por último, o artigo 35 da lei determina, ainda, que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, também será realizada pela ANPD. Em relação a esse tema, será necessário regulamentar os artigos 33, 34 e 35 da LGPD.

Débora Rosa de Liz: Transferência internacional de dados, nos termos do artigo 5º, XV da LGPD, é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. 

O capítulo V da lei trata da transferência internacional de dados, mencionando as hipóteses autorizativas de transmissão no artigo 33 (cujo rol é taxativo). O referido artigo prevê que a transferência internacional de dados pessoais somente é autorizada para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na referida lei. No entanto, não está definida a lista de países classificados conforme seu grau de proteção, como foi feito pelas autoridades europeias. 

Por sua vez, o artigo 34 estabelece que o nível de proteção de dados do país estrangeiro ou do organismo internacional poderá ser avaliado pela ANPD. E ainda, o artigo 35 da lei determina que a definição do conteúdo de cláusulas-padrão contratuais, dentre outros, será realizada pela autoridade.

Portanto, a ANPD ainda deverá regulamentar a matéria, em especial avaliando o nível de proteção de dados dos países estrangeiros com os quais os dados foram compartilhados/armazenados, bem como trabalhando na definição do conteúdo de cláusulas-padrão contratuais, verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta. Ainda, se espera que haja uma regulamentação sobre o armazenamento em servidores internacionais contratados para serviço de nuvem, por exemplo, muito comum atualmente. 

Esse é o item 9 da agenda da ANPD, com previsão de emissão das resoluções ainda neste semestre.

---

O artigo 7º da LGPD estabelece as hipóteses de tratamento de dados pessoais, e a ANPD prevê a elaboração de um guia de boas práticas sobre o assunto. Quais devem ser os principais aspectos abordados no guia? Qual será a importância, para as empresas, de aderirem a essas práticas? 

Camila Borba Lefèvre, Flavia Meleras Bekerman e Renato Rossi Filho: A ANPD mostrou em 2021 que terá em 2022 e nos próximos anos, dentre outras atribuições, um papel educativo, conscientizador e orientativo em relação à sociedade, aos agentes de tratamento e aos titulares de dados pessoais. 

A LGPD, assim como a General Data Protection Regulation (GDPR) — a lei de proteção de dados pessoais da União Europeia —, é uma lei principiológica, ou seja, estabelece um conjunto de princípios que irão orientar a aplicação da lei. Dessa forma, os chamados guias de boas práticas, muitas vezes, servem para orientar a aplicação da lei na prática, bem como para preencher eventuais “lacunas” legais mediante a interpretação dos princípios da lei. A importância de as empresas aderirem a essas boas práticas é enorme, tendo em vista que a iniciativa traz mais segurança jurídica para os negócios, aumenta a aderência da organização às disposições da LGPD e reduz a possibilidade de infrações da lei, evitando, assim, impactos negativos à imagem da empresa no que diz respeito à privacidade e proteção de dados pessoais — além de eventuais sanções.

Débora Rosa de Liz: Na agenda da ANPD (Portaria 11/2021), no item 10, está prevista como última fase (3) do biênio 2021-2022, a criação de um documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses legais descritas no artigo 7º, dentre outras. O documento previsto na portaria será o Guia de Boas Práticas e deve ser publicado no segundo semestre de 2022. Uma prévia do que virá no guia já pode ser consultada no Guia Orientativo da ANPD para o Tratamento de Dados do Setor Público. Divulgado em janeiro de 2022, ele traz especificações das bases legais, exemplos e princípios. 

O artigo sétimo da LGPD elenca dez hipóteses de tratamento de dados: consentimento; cumprimento de obrigação legal; utilização pela administração pública; pesquisa; execução de contrato; processo judicial ou administrativo; proteção à vida; tutela à saúde; legítimo interesse do controlador e proteção ao crédito. 

Bases legais como legítimo interesse e proteção ao crédito são especialmente abertas à interpretação e carecem de orientações claras que tornem possível satisfazer as exigências da lei. Essa carência é no sentido de ordem prática. Espera-se que, com o guia, a sociedade receba as orientações do governo de como tratar e enquadrar suas rotinas de tratamento de dados nas hipóteses legais previstas. 

Ademais, um tema que deve ser motivo de regulamentação nessa seara é o tratamento de dados pessoais de menores e adolescentes. Na LGPD, consta a expressa previsão de obtenção do consentimento de pais/responsáveis na coleta/tratamento de dados. Ocorre que existem as bases legais de tutela à saúde e cumprimento de obrigação regulatória que independem de consentimento. Isso gera um conflito: uma instituição de saúde precisa coletar dados de uma criança para realizar um procedimento, sendo vital à sua saúde, mas, mesmo assim, precisa do consentimento dos pais para tratar esses dados? Essa situação deve ser objeto de regulamentação ou ao menos elucidação (definição conceitual) pela ANPD no Guia de Boas Práticas esperado para o próximo semestre. 

Outro tema que deve ser abordado pelo guia, para refletir um tema existente na GDPR (regramento da União Europeia sobre dados pessoais), é a base legal de tratamento para integrantes do terceiro setor, como igrejas. 

E, finalmente, é de suma importância a adesão às práticas que serão divulgadas pela autoridade nacional no referido guia pelas empresas (controladoras e operadoras) de dados. A regulamentação auxiliará no melhor entendimento e refinará conceitos estabelecidos pela lei geral já com as adaptações ao Brasil.