A Lei Geral de Proteção de Dados Pessoais, em vigor desde agosto/2020, estabeleceu em seu artigo 55, inciso XVIII que caberia a Autoridade Nacional de Proteção de Dados (ANPD) a responsabilidade pela edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como startups e empresas de inovação.
Para tanto, em 30.08.2021, a ANPD submeteu à consulta pública minuta da resolução contendo proposta de flexibilização e dispensa de obrigações previstas na LGPD para agentes de pequeno porte, cuja audiência pública aconteceu nos dias 14 e 15 de setembro.
Conforme esclareceu Rodrigo Santana, Coordenador de Normatização da ANPD, durante o primeiro dia de realização da audiência pública, o regulamento proposto se baseou em dois pilares: o porte da empresa e o tratamento de alto risco.
Quanto ao porte, a assimetria regulatória proposta pela ANPD atingiria agentes de tratamento de pequeno porte, indicados como sendo as microempresas e empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais.
Em relação ao segundo pilar da minuta, a ANPD já adiantou seu posicionamento no sentido de que considera tratamento de alto risco, aquele que envolva: I – dados sensíveis ou dados de grupos vulneráveis, incluindo crianças, adolescentes e idosos; II – vigilância ou controle de zonas acessíveis ao público; III – uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou; IV – tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Até o momento, somente para aqueles agentes de pequeno porte e que não realizam tratamento de alto risco e em larga escala para os titulares, a minuta da resolução elaborada contém diversos pontos de flexibilização e dispensa das obrigações previstas na LGPD, tais como:
- Dispensa da obrigação de manutenção de registros de operações;
- Desobrigatoriedade na indicação de encarregado (DPO), desde que disponibilizado canal de comunicação com os titulares;
- Concessão de prazo em dobro para atendimento das solicitações dos titulares e comunicação à ANPD e ao titular diante da ocorrência de incidentes de segurança;
- Possibilidade de apresentação apenas do relatório simplificado de impacto à proteção de dados pessoais;
- Dispensa de portabilidade dos dados do titular para outro fornecedor.
Por outro lado, considerando a grande chance de que seu provedor trate dados pessoais de idosos, por exemplo, classificados como tratamento de alto risco pela ANPD, a resolução, tal como escrita, não o beneficiaria.
Assim como, na regulação sujeita à consulta pública, não fica claro o que poderia ser entendido como tratamento de dados em larga escala, mas, o que se sabe é que, em virtude da natureza da atividade de um provedor, existem grandes chances de mesmo que esse seja de pequeno porte, seja enquadrado nesse critério.
Dessa maneira, o que se verifica é que os provedores de telecomunicações não serão beneficiados pelas flexibilizações trazidas pela nova regulamentação.
Ademais, a audiência pública realizada nos dias 14 e 15 de setembro, que contou com a participação de diversas instituições, escritórios de advocacia e estudiosos do tema, levantou pontos que merecem especial destaque:
– A LPGD, inspirada no regulamento europeu (GDPR), representa a tendência mundial no tratamento de dados pessoais, de modo que o não atendimento à integra das obrigações trazidas pela legislação brasileira pode gerar impacto comercial, tanto internacionalmente, quanto com outros parceiros/fornecedores nacionais que se proponham às adequações necessárias.
– Nessa linha, uma vez implementada a mudança cultural trazida pela lei, a expectativa é de que os titulares de dados deem preferência para aquele provedor que se preocupe em cuidar bem dos dados disponibilizados, que possam fornecer relatório claro e completo sobre o Impacto à Proteção de Dados Pessoais, bem como disponibilize profissional habilitado para atender as demandas do titular de dados, ou seja, nomeie DPO (pessoa física ou jurídica) que oriente e garanta a conformidade com a LGPD.
Assim, seja pelo tratamento de alto risco, conforme indicado, ou pelo possível impacto comercial que a LGPD acarreta, o provedor está obrigado a se adequar à LGPD em sua totalidade, implementando a necessária mudança de cultural na rotina das organizações, através de treinamentos, adequação de e segurança dos dados de clientes, adoção de políticas de proteção de dados, Código de Ética, e nomeação imediata de um DPO, seja através da contratação de indivíduo para essa função ou por uma empresa terceirizada.
Novamente, importante destacar que a LGPD está em pleno vigor e existe a necessidade de que seu provedor se adeque às medidas trazidas pela lei, visto que o descumprimento pode acarretar nas penalidades definidas na legislação, que podem ser advertência, publicização da infração ou a aplicação de multa, fixa ou diária, de 2% do seu faturamento limitada a R$ 50 milhões.
Bárbara Simões Bassetto
Graduada em Direito pela UEM e especialista em Direito e Processo Penal pela UEL. Atualmente, atua como advogada na Gardemann & Vidotti Advogados Associados.
