Recentemente, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou a Resolução nº 02 de 2022, a qual regulamentou a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte.
Cumpre esclarecer que essa regulamentação era muito aguardada pelo setor de telecomunicações, em especial, os pequenos provedores de internet, tendo em vista o tratamento de dados pessoais que realizam, bem como as diversas complexidades trazidas pela LGPD e sua adequação, inclusive, nos custos envolvidos em um projeto de adequação à legislação de dados.
Acontece que a Resolução acabou por excluir os pequenos provedores do âmbito da aplicação da regulamentação mais branda, ou seja, os pequenos provedores deverão continuar a seguir as determinações da LGPD em sua integralidade, sem qualquer modificação – pelo menos, até que nova regulamentação seja publicada, caso isso aconteça.
Nesse sentido, cumpre esclarecer os motivos pelos quais os pequenos provedores ficaram de fora da regulamentação, sendo possível os extrair do próprio texto da Resolução nº 2/2022, vez que a regulamentação explica que não poderá se beneficiar do tratamento jurídico diferenciado aqueles agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares.
Desta forma, a Resolução entende que o tratamento de alto risco para os titulares será auferido por critérios gerais e específicos, bastando que o agente atenda, cumulativamente, a um critério geral e um específico para ter seu tratamento caracterizado como de alto risco, sendo eles:
- Critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
- Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Diante dos critérios, é possível notar que o pequeno provedor enquadra-se na atividade de alto risco, vez que realiza o tratamento de dados pessoais em larga escala, bem como, por vezes, utiliza-se de tecnologias emergentes ou inovadoras e de dados pessoais sensíveis de idosos.
À exemplo, é possível notar essa atividade de alto risco do pequeno provedor no tratamento realizado em larga escala envolvendo todos os dados pessoais dos clientes, combinado com o uso de tecnologia inovadora na prestação de serviço e, ainda, com a coleta de dados pessoais sensíveis da pessoa idosa que, a título exemplificativo, pode ser o próprio cliente.
Nesse sentido, resta claro, portanto, que o pequeno provedor deve – novamente, atentar-se às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD), vez que ela será o parâmetro para adequação da empresa, bem como guiará o correto tratamento de dados pessoais, tendo em vista que, até o presente momento, não há qualquer regulamentação que abrande a aplicação da LGPD para os pequenos provedores.
Dra. Anna Gardemann, Dra. Larissa Guidorizi, Dra. Mariana Vidotti – Juntas compõem o corpo de Advogados da Gardemann & Vidotti e Advogados Associados.
