Regulamentação para aplicação LGPD nos agentes de tratamento de pequeno porte
Mais uma vez retomamos um dos temas mais destacados da atualidade no mundo jurídico. No dia 28 de janeiro de 2021, quando se celebrou o Dia Internacional da Proteção de Dados, e durante uma semana de avanço na ANPD (Autoridade Nacional de Proteção de Dados), foi publicada a Resolução do Conselho Diretivo da ANPD nº 02, a qual aprova o Regulamento de aplicação da LGPD para agentes de tratamentos de pequeno porte.
Este regulamento possui como finalidade facilitar a adaptação e a consequente adequação dos agentes de tratamento de pequeno porte às normas da LGPD. Neste sentido, ao perceber a baixa maturidade e a falta de uma cultura de proteção de dados pessoais no Brasil, principalmente pelos agentes de pequeno porte, para se evitar a inviabilização da existência da LGPD, reconheceu-se que a redução de carga regulatória e o estímulo à inovação seriam fatores fundamentais para o desenvolvimento das microempresas e empresas de pequeno porte e, consequentemente, o desenvolvimento do país.
Conforme destacou Miriam Wimmer, a relatora do processo que resultou neste regulamento:
“A LGPD dedicou especial atenção aos agentes de pequeno porte, reconhecendo que esses atores possuem desafios próprios para a conformidade com a LGPD. O Regulamento de Agentes de Pequeno Porte busca, portanto, dar cumprimento ao comando legal de que a ANPD deve estabelecer normas e procedimentos simplificados para esses atores, levando em consideração não apenas seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas. Com isso, buscamos encontrar um ponto de equilíbrio que permita calibrar adequadamente a regulamentação para esses agentes, mantendo a proteção aos direitos dos titulares."
Nesse contexto, o primeiro ponto é definir quem pode ser considerado um agente de tratamento de pequeno porte. O regulamento esclareceu que são: “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”;
Importante registrar que, mesmo tratando-se de agentes de tratamento de pequeno porte, o ficou definido que o regulamento em questão não se aplicaria para quem realize: tratamento de alto risco para os titulares de dados, auferir renda bruta anual superior a R$ 4.800.000,00, ou pertencer a grupo econômico cuja receita global supere o referido valor.
Define-se como tratamento de alto risco, o tratamento de dados pessoais em larga escala ou que possam afetar significativamente interesses e direitos fundamentais dos titulares; e, ainda, que façam uso de tecnologias emergentes ou inovadoras, possuam vigilância ou controle de zonas acessíveis ao público, utilizem decisões tomadas com base unicamente em tratamento automatizados de dados pessoais ou que utilizem dados pessoais sensíveis ou de crianças, adolescentes e idosos.
Percebe-se, por conseguinte, que não basta ser considerado um agente de tratamento de pequeno porte, existem situações específicas em que a aplicação integral das regras dispostas na LGPD deverão ser observadas.
Mas para quem de fato se adeque ao regimento em questão, os benefícios são os seguintes:
· Forma simplificada de elaboração e manutenção de registros das operações de tratamentos de dados, cujo modelo será fornecido pela ANPD;
· Flexibilização ou procedimento simplificado de comunicação de incidente de segurança;
· Não obrigatoriedade de indicar um encarregado, sendo necessário apenas a disponibilização de um canas de comunicação com o titular de dados;
· Politica de segurança e boas práticas de tratamentos de dados simplificadas, conforme orientações e guias informativos lançados pela ANPD;
· Prazo em dobro para o atendimento de solicitações dos titulares de dados pessoais; para a comunicação à ANPD e ao titular de dados acerca de ocorrência de incidentes de segurança;
No entanto, apesar dos benefícios, é certo reiterar que o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Nesse sentido, o Regulamento visa garantir os direitos dos titulares de dados, ao mesmo tempo em que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados.
Entende-se, portanto, que foi de grande valia a sensibilidade da ANPD às questões culturais do país e, principalmente, a dificuldade de regulamentação, tanto na parte técnica-operacional quanto na econômico-financeira, dos agentes de tratamentos de pequeno porte.