Por Simone Santinato
Em 28 de janeiro passado, foi publicada no Diário Oficial a Resolução de número 2 da ANPD, com o objetivo de regulamentar a aplicação da Lei de Proteção de Dados para agentes de tratamento de pequeno porte.
O objetivo fundamental dessa regulamentação é dispensar ou flexibilizar o cumprimento de algumas obrigações previstas na LGPD, para facilitar a operação desses agentes.
São empresas que normalmente possuem uma capacidade de investimento menor para os projetos de conformidade. Isso não significa, evidentemente que não terão que tomar medidas básicas como respeitar os princípios gerais da lei, enquadrar as operações nas suas bases legais, ajustar contratos e tomar medidas para proteger os dados dos titulares.
Vamos direto aos pontos!
Quem é agente de pequeno porte de acordo com o regulamento?
- Microempresas;
- Empresas de pequeno porte;
- Startups;
- Pessoas jurídicas de direito privado sem fins lucrativos;
- Pessoas naturais e entes privados despersonalizados (ou seja, que não formalizaram uma empresa) e que realizam tratamento de dados pessoais.
Que tipos de empresas não podem se favorecer desse regulamento?
- empresas que realizem tratamento de alto risco para os titulares, ressalvada a hipótese de consentimento,
- empresas com faturamento anual superior a 4,8 milhões de reais (quando microempresa)
- ou superior a 16 milhões no ano calendário anterior (quando startups).
Quais são os critérios para que uma atividade de tratamento seja classificada como de alto risco?
- Gerais: tratamento em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares;
- Específicos: uso de tecnologias emergentes/inovadoras; vigilância ou controle de zonas de acesso público; decisões tomadas com base em tratamento automatizado; utilização de dados sensíveis.
Para que uma operação de tratamento seja considerada como de alto risco precisa atender ao menos um critério geral e um específico.
Quais são as obrigações para os agentes de pequeno porte?
- Disponibilizar informações sobre o tratamento e atender as requisições de titulares por meio eletrônico, impresso ou outro.
- Podem se organizar através de entidades de representação para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares.
- Realizar o registro de operações de maneira simplificada. A ANPD se compromete a disponibilizar um modelo.
- A comunicação sobre incidentes de segurança também poderá ser realizada de forma simplificada de acordo com disposições da ANPD.
- Os agentes de pequeno porte estão desobrigados da indicação do encarregado (ou DPO). Ao decidir por não indicar, o agente deve disponibilizar um canal de comunicação para que o titular de dados seja atendido. Quando indicar, isso será considerado pela autoridade como uma boa prática de governança.
- O guia recomenda a adoção de requisitos mínimos de segurança de informação em especial a observância das recomendações da ANPD nos seus guias orientativos.
- Por fim, autoriza a adoção de uma política de segurança simplificada, com requisitos essenciais para proteger os dados de acessos não autorizados.
O que acontece com os prazos?
Foram estabelecidos prazos diferenciados (em dobro) para as seguintes situações:
- Atendimento aos titulares de dados
- Comunicação ao titular e ANPD sobre incidentes de segurança
- Fornecimento de declaração clara e completa
- Prazos estabelecidos em normativos próprios para apresentação de informações, documentos, relatórios e registros (caso ainda não tenham sido estipulados prazos a ANPD o fará).
Ainda com respeito a prazos, o regulamento concedeu a possibilidade de fornecer a declaração simplificada no mesmo prazo da completa, ou seja, em até 15 dias. No texto original da lei essa declaração simplificada deveria ser fornecida imediatamente.
Por fim a ANPD deixa claro que levará em consideração as circunstâncias relevantes da situação, natureza da operação, volume e riscos aos titulares para determinar que eventualmente um agente de pequeno porte cumpra as obrigações de forma integral, sem o benefício das flexibilizações permitidas pelo regulamento.
Isso, no meu entendimento, deve ocorrer em situações específicas como no decorrer de um processo de fiscalização por exemplo, em que a ANPD veja necessidade de realizar uma análise mais profunda do caso e da situação da empresa.