A proposta de Resolução da ANPD para
Regulamentação dos Agentes de Tratamento de Pequeno Porte
No último dia 30, a Autoridade Nacional de Proteção de Dados Pessoais, abriu consulta pública que se estenderá até 29 de setembro, para receber contribuições da sociedade no que diz respeito à proposta de Resolução destinada à regulamentar a aplicação da Lei Geral de Proteção de Dados aos chamados Agentes de Tratamento de Pequeno Porte.
A proposta de regulamentação cumpre a agenda regulatória da Autoridade aprovada para o biênio 2021-2021, para priorizar a regulamentação do art. 55-J, XVIII da LGPD, que refere ser competência da ANPD editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.
A própria ANPD reconhece que a baixa maturidade e cultura de proteção de dados dos agentes de pequeno porte pode dificultar a sua adequação à LGPD, em razão dos ônus decorrentes desse processo o que, eventualmente poderá até inviabilizar a sua existência.
Daí por que ser importante, no entendimento da Autoridade a redução ou flexibilização das obrigações regulatórias, como facilitador da adesão e adaptação à LGPD, e a motivação à inovação como fatores fundamentais para o desenvolvimento das empresas que se enquadrem no conceito de Agentes de Tratamento de Pequeno Porte e, consequentemente do próprio País.
O mais surpreendente é a repercussão das consultas públicas promovidas pela ANPD. Chega a ser um paradoxo. Como pode a sociedade demonstrar alto grau de maturidade a respeito da proteção de dados pessoais, verificada pela participação ativa com sugestões e questionamentos aos regulamentos propostos, mas ao mesmo tempo as Empresas, compostas pelos mesmos indivíduos desta sociedade, demonstrarem um baixo grau de maturidade, identificado pela sua baixa aderência à LGPD?
Evidente que não há baixa maturidade. O que há são custos de investimento, destinados não só a assegurar diretamente a proteção dos dados pessoais dos Titulares, em razão das operações de tratamento realizados pelas Organizações, mas também a sua própria proteção, objetivamente quanto aos incidentes envolvendo dados pessoais. Mas, isso, infelizmente ainda somente é visto como despesa.
Entendendo essa dicotomia é que a ANPD propõe e submete o texto da Resolução voltado para as organizações que mais se veem impactadas financeiramente com a necessidade de adequação da LGPD.
Após a consulta pública, a resolução ainda sofrerá modificações, em decorrência das sugestões e críticas a que está sendo submetida.
Mas essencialmente ela se aplicará aos Agentes de Tratamento de Pequeno Porte conhecidos como sendo as microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, as quais deverão comprovar o seu enquadramento nesta condição quando solicitado pela ANPD.
Por outro lado, ainda que a organização se enquadre como Agente de Tratamento de Pequeno Porte, não se beneficiará das flexibilizações trazidas pela resolução e deverá manter um Encarregado de Proteção de Dados ou, na sua falta, canal de comunicação com o titular de dados, se realizar tratamento de dados pessoais, cumulativamente:
- de alto risco, que são aqueles que envolvam:
- dados sensíveis ou de grupos vulneráveis, incluindo crianças, adolescentes e idosos;
- vigilância ou controle de zonas acessíveis ao público (espaços abertos, praças, centros comerciais, vias públicas, estações de ônibus e de trem, aeroportos, portos, bibliotecas públicas, dentro outros)
- uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
- tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
- Em larga escala: aqueles que abranjam número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado, exceto quando de funcionários ou para fins exclusivos de gestão administrativa do agente de tratamento de pequeno porte.
As flexibilizações não atingem o dever de atendimento dos direitos dos titulares, cujas requisições poderão ser atendidas por meio eletrônico ou impresso, ficando os Agentes de Tratamento de Pequeno Porte dispensados de fornecer a declaração completa que indique origem dados pessoais, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, conferir portabilidade dos dados pessoais e com a opção de anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Outra questão importante será a dispensa da manutenção dos registros de operações de tratamento de dados pessoais, os quais poderão ser feitos voluntariamente a partir de modelos simplificados fornecidos pela própria ANPD, bem como da apresentação simplificada de Relatório de Impacto à Proteção de Dados, cuja forma também será estabelecida pela Autoridade.
Seguindo a lógica da facilitação à aderência à LGPD e da redução das “despesas” decorrentes disso, a Resolução também propõe dispensa da obrigatoriedade da indicação do Encarregado de Tratamento de Dados Pessoais, mantendo a obrigação de que haja um canal efetivo de comunicação com o titular.
E faz sentido tal dispensa. Existem pequenas organizações que operam com quadro pequeno de colaboradores e, algumas vezes, os próprios sócios desempenham as atividades operacionais e estratégicas, o que leva a um entendimento de existência de poucos e enxutos processos de tratamento de dados, o que também traz lógica à dispensa da manutenção dos registros de operações de tratamento de dados pessoais, referida na proposta de resolução.
Por outro lado, por menor que seja a organização (dentro do conceito de Agente de Tratamento de Pequeno Porte) e mais enxutos sejam seus processos de tratamento de dados pessoais a ANPD cuidará de estabelecer requisitos mínimos de segurança da informação e proteção de dados pessoais, a partir de guia orientativo a ser lançado, considerando o nível de risco à privacidade dos titulares e a realidade do agente de tratamento.
Por fim, propõe a ANPD, em sua proposta de regulamentação, que os Agentes de Tratamento de Pequeno Porte tenham prazo em dobro para atendimento das solicitações dos titulares referente aos tratamentos de seus dados pessoais, relativamente:
- confirmação da existência do tratamento
- acesso aos dados
- correção de dados incompletos, inexatos ou desatualizados
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD
- portabilidade
- eliminação dos dados pessoais tratados sem consentimento
- informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
- revogação do consentimento
Espera-se que, após ouvida a sociedade, o texto final da resolução seja publicado, eliminando as barreiras ditas como empecilhos para a aderência dos chamados Agentes de Tratamento de Pequeno Porte, trazendo o equilíbrio necessário entre a proteção de dados pessoais e o desenvolvimento econômico.
por Luciano Escobar
