Dentre as prerrogativas da Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador, fiscalizador e sancionador da Lei Geral de Proteção de Dados (Lei 13.709/2018 - LGPD), destaca-se a capacidade de estabelecer parâmetros técnicos e instrumentais para comprovação de adequação das empresas.
Em setembro de 2020, momento que marcou o início da vigência da LGPD, já era notoriamente sabido que as disposições encontradas na legislação necessitariam de regulamentações especificas, ante a existência de lacunas sobre os mais variados temas, tais quais: padronização de medidas técnicas, administrativas e de segurança; prazos de atendimento de direitos dos titulares, atuação do Encarregado, entre outros.
Contudo, neste cenário incerto, já era realçado em momento anterior à vigência legal, as condições, e possíveis isenções, que seriam percebidas pelas microempresas e empresas de pequeno porte, vez que as exigências regulamentares em alguns momentos não conseguiriam ser harmonizadas com a realidade destas organizações.
Diante da premente necessidade de cessar a incerteza que esta fatia do setor empresarial experenciava, uma das primeiras resoluções significativas da ANPD é direcionada a atender estes questionamentos.
Deste modo, em 30 de agosto de 2021 o Conselho Diretor da Autoridade Nacional, publicou minuta de resolução para regulamentar a aplicação da LGPD, para os agora intitulados agentes de tratamento de pequeno porte, a fim de levar à sociedade civil o debate dos elementos que irão implicar em um regime especial para adoção destes critérios legais.
O assunto é complexo e ainda está em discussão, contudo já passou por uma audiência pública, realizada entre 14 e 15 de setembro deste ano, na qual foram ouvidos diferentes representantes da sociedade, e prorrogou em 15 dias o prazo para envio de contribuições desta consulta, sendo seu encerramento previsto para 14 de outubro, diante da relevância do tema aos diversos âmbitos sociais.
Ainda que ausente uma resolução definitiva, já importa a análise dos termos consultados, pois mesmo que estes sofram alterações até a sua finalização, passam a revelar importantes fatores que permeiam o senso do órgão regulador e consequentemente, demonstram uma preocupação central nas atividades desempenhadas por estes agentes de pequeno porte.
Nota-se primeiramente, que não há qualquer tipo de isenção ao regramento da LGPD, isto quer dizer, que a proteção de dados pessoais deverá ser cumprida, independente do porte orçamentário e/ou organizacional. A regulamentação em comento, versa sobre a simplificação dos procedimentos.
Os beneficiados por esta flexibilização instrumental encontram-se elencados no artigo 2º da minuta: as microempresas e empresas de pequeno porte, sociedade empresária, sociedade simples, o empresário previsto no artigo 966 do Código Civil, o microempreendedor individual, as startups (inclusas por critério temporal), pessoas jurídicas sem fins lucrativos e entes despersonalizados que realizam tratamento de dados pessoais.
Observa-se que a Autoridade criou uma nova classe de agentes de tratamento, que anteriormente apresentava-se monolítica e agora já se pode ser segregada entre os agentes de tratamento de pequeno porte, aqueles indicados no artigo 2º, e o agentes de tratamento comuns, todos os que não se encaixarem nos critérios estabelecidos.
No leque das simplificações procedimentais, encontramos desde a indicação de prazo em dobro para resposta aos titulares e comunicação de incidentes à ANPD, até a retirada direito do titular de exigir à portabilidade de dados pessoais, previsto no artigo 18, V da LGPD.
Acrescente-se ainda facilitações que preveem a entrega de Relatórios de Impacto e Políticas de Segurança simplificadas, Registros de Operação de tratamento facultativos, disponibilização de canais de comunicações diretos aos titulares, dentre outras.
Os padrões escolhidos neste momento pela ANPD destoam das indicações previstas na General Protection Data Regulation (GDPR), a Lei europeia que serviu de inspiração para a criação da LGPD, visto que lá não há disciplina diferenciada para estes agentes, sendo que a única dispensa existente é da obrigatoriedade de realização do registro de operações para empresas com menos 250 colaboradores, pratica esta pouco adotada, visto que o registro é caracterizado como uma boa medida que ultrapassa a eventual imposição administrativa.
Contudo, o fator de maior preocupação desta “pré-resolução” é a ausência de critérios objetivos para o reconhecimento das empresas enquanto agentes especiais, pois todas as hipóteses de simplificação estarão dispensadas quando houver a aferição de tratamento de alto risco e de larga escala.
Estes conceitos também carecem de definições pontuais, pois não há indicação de critérios para indicação do que seria alto risco ou larga escala, havendo ainda incerteza no que se refere a questão redacional, pois não é possível estabelecer se estes seriam requisitos cumulativos. Não obstante, a inclusão das startups também não possui critério temporal definido, e a utilização da referência da Lei Complementar nº 182/2021, enquanto corte orçamentário não indica com clareza a amplitude de sua aplicação à todos os agentes do artigo 2º.
Tendo em conta, que a Autoridade Nacional terá a prerrogativa de alterar o enquadramento da empresa, retirando-se, portanto, os procedimentos simplificados, estes questionamentos devem ser resolvidos com a maior urgência possível, a fim que de todas as empresas possam adotar medidas de adequação proporcionais ao seu porte e volume de tratamento de dados pessoais.
Artigo por: Gabriela Alcântara, gerente da área de direito digital da Lopes & Castelo Sociedade de Advogados.
Fique por dentro de tudo que acontece no mundo jurídico no Portal Juristas, siga nas redes sociais: Facebook, Twitter, Instagram e Linkedin. Participe de nossos grupos no Telegram e WhatsApp. Adquira sua certificação digital e-CPF e e-CNPJ na com a Juristas Certificação Digital, entre em contato conosco por email ou pelo WhatsApp (83) 9 93826000
[…] Gabriela Alcântara, gerente da área de direito digital da Lopes & Castelo Sociedade de Advogados. Artigo publicado no portal Juristas […]