LGPD: adequação em microempresas e empresas de pequeno porte
A Autoridade Nacional de Proteção de Dados Pessoais – ANPD é o órgão da administração pública federal, integrante da Presidência da República, responsável pela fiscalização do cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD na esfera administrativa.
As atribuições da ANPD estão previstas no art. 55-J da Lei Geral de Proteção de Dados Pessoais, destacando-se, ao que interessa para o presente artigo:
- a legitimidade para ouvir a sociedade em matérias de interesse relevante (art. 55-J, inc. XIV, Lei nº 13.709/18), e
- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como startups, possam adequar-se à LGPD (art. 55-J, inc. XVIII, Lei nº 13.709/18);
E, justamente com fundamento nas competências destacadas no parágrafo anterior, a ANPD, recentemente, abriu consulta pública e inscrições para uma audiência pública, permitindo que interessados opinem sobre a minuta de resolução que regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais para pequenas empresas identificadas no documento como “agentes de tratamento de pequeno porte”.
O objetivo da ANPD é, através da resolução, flexibilizar as regras previstas na LGPD para os seguintes agentes de tratamento de pequeno porte, que utilizam dados pessoais para desenvolver atividades:
- microempresas;
- empresas de pequeno porte;
- startups;
- pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, tais como associações, fundações, organizações religiosas e partidos políticos;
- pessoas naturais;
- entes despersonalizados;
- empresas que possuem receita bruta máxima conforme previsto no art. 4º, §1º, inciso I, da Lei Complementar nº 182, de 1º de junho de 2021;
Importante elucidar que a dispensa de cumprimento de algumas regras da LGPD não isenta os agentes de tratamento de pequeno porte do cumprimento de outras obrigações legais relacionadas à proteção de dados pessoais.
Ainda, a flexibilização das obrigações previstas na resolução não se aplica aos agentes de tratamento de pequeno porte que realizam tratamento de alto risco para os titulares, tais como:
- tratamento de dados sensíveis de grupos vulneráveis, incluindo crianças e adolescentes;
- tratamento de dados que envolver vigilância ou controle e zonas acessíveis ao público (espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus e de trem, aeroportos, portos, bibliotecas públicas, dentre outros);
- tratamento de dados mediante utilização de tecnologias capazes de provocar danos materiais ou morais aos titulares;
- agentes que realizam tratamento automatizado de dados, que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade;
Também não serão aplicáveis as normas de flexibilização que estão sendo propostas pela ANPD através da resolução quando os agentes de tratamento de pequeno porte realizarem tratamento em larga escala para os titulares, ou seja, “tratamento que abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”. Segundo esclarecido no texto da Resolução, “não será considerado tratamento de larga escala o tratamento de dados de funcionários ou para fins exclusivos de gestão administrativa do agente de tratamento de pequeno porte.” (art. 3º, §2º e 3º da resolução).
Segundo previsto na minuta de Resolução da ANPD, as obrigações dos agentes de tratamento de pequeno porte são as seguintes:
a) quantos aos direitos dos titulares de dados pessoais, elencado nos art. 18 da LGPD:
- podem atender às requisições dos titulares de dados pessoais, descritas no art. 18 da LGPD, por meio eletrônico ou impresso;
- estão dispensados de conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto, nos termos do inciso V do art. 18 da LGPD;
- é facultado ao agente de tratamento de pequeno porte, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, na forma do art. 18, inciso IV, da LGPD;
- estão dispensados de fornecer a declaração clara e completa de que trata o art. 19, inciso II, da LGPD;
b) quanto ao registro das atividades de tratamento de dados, conforme previsão do art. 37 da LGPD:
- ficam dispensados da obrigação de manutenção de registros das operações de tratamento de dados pessoais constante do art. 37 da LGPD;
- a ANPD fornecerá modelos para o registro voluntário e simplificado das atividades de tratamento por agentes de tratamento de pequeno porte, e considerará a existência de tais registros para fins do disposto no art. 6º, inciso X e no art. 52, §1º, incisos VIII e IX da LGPD;
c) quanto à apresentação do Relatório de Impacto à Proteção de Dados Pessoais:
- podem apresentar o relatório de impacto à proteção de dados pessoais de forma simplificada quando for exigido, nos termos da resolução específica sobre o assunto;
d) quanto às comunicações dos incidentes de segurança:
- a ANPD poderá dispensar ou simplificar o procedimento de comunicação de incidente de segurança, nos termos da resolução específica;
e) Quanto ao Encarregado de Proteção de Dados Pessoais, conforme art. 41 da LGPD:
- os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais;
- o agente de pequeno porte que não indicar o Encarregado de Dados deverá disponibilizar um canal para comunicação com o titular de dados;
f) quanto à segurança da informação e às boas práticas:
- os agentes de tratamento de pequeno porte são obrigados a adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento;
- a ANPD disponibilizará guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte;
- podem estabelecer política simplificada de segurança da informação que contemple requisitos essenciais para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
g) quanto aos prazos diferenciados:
- terão prazo em dobro para atender demandas dos titulares de dados, para comunicar a ANPD e ao titular quando ocorrer incidente de segurança da informação, para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD ou outros agentes de tratamento;
- os prazos serão fixados por meio de resoluções específicas;
Como visto, são importantes flexibilizações que, se confirmadas oportunamente, após a participação da sociedade na construção do texto da nova resolução, garantirão a adequação de agentes de tratamento de pequeno porte à LGPD de forma diferenciada e simplificada, com custos menores e suportáveis por esta categoria de empreendedores.
Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV
