ANPD publica minuta de resolução que disciplina aplicação da LGPD para microempresas e empresas de pequeno porte

A Autoridade Nacional de Proteção de Dados publicou no último dia 30 a minuta da Resolução que orienta a aplicação da Lei Geral de Proteção de Dados a microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos – considerados agentes de tratamento de pequeno porte. Também são considerados nessa categoria aqueles que possuem receita bruta máxima de até 16 milhões de reais no ano calendário anterior.
Essa publicação vem para atender o disposto no art. 55-J, inciso XVIII, da LGPD e antes de estar em pleno funcionamento deve passar por consulta e audiência pública, agendadas para este mês de setembro.

O regulamento flexibiliza algumas disposições no que se refere as obrigações das empresas a fim de facilitar o compliance com a lei por esses agentes de modo que não seja muito oneroso. Os direitos dos titulares não deve ser prejudicado, sendo que o risco que o tratamento de dados pode causar ao titular ainda é levado em consideração, mas busca trazer equilíbrio entre as regras da lei e o porte do agente que trata os dados.

Ainda, o regulamento não se aplica aos agentes que realizam tratamento de alto risco para os titulares, que o define como aquele que envolve o tratamento de dados sensíveis ou de grupos vulneráveis, incluindo crianças, adolescentes e idosos; vigilância ou controle de zonas acessíveis ao público; uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.

Abaixo, segue as sete principais novidades que o regulamento trouxe para os agentes de tratamento:

Dispensa de portabilidade

A Lei Geral de Proteção de Dados dispõe no artigo 18 que a portabilidade dos dados para outro fornecedor de produto ou serviço é um direito do titular, contudo, para a transferência segura de dados é necessário um investimento em infraestrutura que muitas empresas pequenas ou de pequeno porte não possuem. Por isso, ocorreu a dispensa de conferir a portabilidade nos termos do inciso.

Faculdade do agente de tratamento sobre requisição do titular

Na LGPD há previsão do titular solicitar a anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou tratados em desconformidade. Contudo, a opção de anonimização dos dados pode ser especialmente onerosa para empresas, pois envolve medidas técnicas específicas de mercado. Ao facultar ao agente de tratamento a opção pela forma de atender a solicitação do titular, o regulamento novamente coloca à disposição da empresa uma forma menos dispendiosa de recursos para atender aos direitos dos titulares.

Dispensa de fornecimento de declaração completa sobre tratamento

Como medida para confirmação de existência de tratamento ou acesso a dados pessoais a LGPD prevê que o titular tem o direito de requerer declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial. Pelo regulamento as pequenas empresas e empresas de pequeno porte estariam dispensadas de fornecer tal declaração.

Dispensa de obrigação de manutenção de registro das operações de tratamento

Para a LGPD, o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. Esses registros devem ser feitos por meio de relatórios, testes, etc. O regulamento dispensou a exigência desta obrigação.

Relatório de Impacto à Proteção de Dados simplificado

Uma das disposições da LGPD que mais tem causado discussões é aquela referente a produção de um Relatório de Impacto a Proteção de Dados Pessoais, documento que deve descrever os tipos de dados coletados, a metodologia utilizada para a coleta e para garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. O regulamento entende que muitas microempresas e empresas de pequeno porte não possuem maturidade para a elaboração de um documento que contenha tais especificidades e por isso oferece a solução da apresentação de um relatório e formato simplificado, quando exigido.

Dispensa de indicação de encarregado de dados pessoais (DPO)

Outra previsão da LGPD que tem estado em bastante evidência é a figura do encarregado de dados pessoais, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Segundo a Resolução editada pela Autoridade Nacional, os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado – mas nesse caso, devem disponibilizar um canal de comunicação com o titular de dados.

Prazo em dobro

O regulamento ainda concede prazo em dobro para que as microempresas e empresas de pequeno porte atendam as solicitações dos titulares, quando requererem seus direitos nos termos do art. 18 da lei, bem como para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD e outros agentes de tratamento, e, ainda, para a comunicação à ANPD e ao titular quando da ocorrência de incidentes de segurança, salvo se puder resultar em comprometimento a integridade dos titulares ou a segurança nacional.

Todas essas medidas, como já informado, buscam garantir um equilíbrio entre o titular e os agentes de tratamento de dados, especialmente no que se refere ao exercício de direito dos titulares perante agentes em situação hipossuficiente em maturidade e infraestrutura técnica de segurança cibernética.

A consulta pública estará disponível na plataforma Participa mais-Brasil até o dia 29 de setembro de 2021.

Natalia Carolina Rodrigues da Silva – OAB/SC n. 51.959
Florianópolis/SC, 31 de agosto de 2021.