ANPD submete à consulta pública resolução sobre aplicação da LGPD às MPEs e startups

report anpd startups_Report Startup

A ANPD (Autoridade Nacional de Proteção de Dados) submeteu à consulta pública minuta de resolução que regulamenta a aplicação da LGPD (Lei Geral de Proteção de Dados) para agentes de tratamento de pequeno porte, que são micro e pequenas empresas (MPEs); startups (conforme critérios da Lei Complementar 182/2021 – Marco Legal das Startups); e pessoas jurídicas que tratam dados pessoais sem fins econômicos.

De acordo com publicação no Diário Oficial da União, de 30 de agosto de 2021, as sugestões deverão ser enviadas até 29 de setembro, exclusivamente por meio da plataforma on-line Participa Mais Brasil. A audiência pública será realizada nos dias 14 e 15 de setembro, no canal do YouTube da ANPD.

Ainda segundo a Autoridade, “o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nos termos do artigo 17 e seguintes da LGPD, nem desobriga que as atividades de tratamento de dados observem a boa-fé e princípios elencados no artigo 6º do mesmo normativo, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas”.

Nota-se, pelo teor da minuta, a preocupação da ANPD de equilibrar os fundamentos da LGPD, especialmente em relação ao “desenvolvimento econômico e tecnológico e à inovação”, conforme inciso V, artigo 2º, da Lei, com o respeito à privacidade (inciso I) e direitos humanos (inciso VII).

Alto risco

A minuta de resolução determina que as dispensas e as flexibilizações previstas na norma não se aplicam aos agentes de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, com exceção do disposto no artigo 13, parágrafo único, que será visto mais à frente. A resolução descreve, de maneira não taxativa, que as atividades de alto risco são aquelas em que o tratamento envolva:

  • Dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
  • Vigilância ou controle de zonas acessíveis ao público;
  • Uso de tecnologias emergentes que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
  • Tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Já o tratamento de larga escala é aquele que abrange número significativo de titulares, considerando-se, ainda, volume de dados envolvidos, duração, frequência e extensão geográfica do tratamento realizado. Quanto ao risco, a Autoridade destacou na minuta que caberá ao agente comprovar o enquadramento nas disposições exigidas.

Agentes de tratamento e direitos dos titulares

A minuta de resolução também não isenta os agentes de tratamento de pequeno porte ao cumprimento de outras disposições legais e regulamentares relativas à proteção de dados pessoais, como as do Marco Civil da Internet, do Código Civil, do Código de Defesa do Consumidor e da Constituição Federal.

Entre outras determinações direcionadas aos agentes de tratamento de pequeno porte está a de atender às solicitações dos titulares de dados, conforme determina o artigo 18 da LGPD, a exemplo (i) da confirmação da existência do tratamento; (ii) do acesso aos dados; (iii) da correção de dados incompletos, inexatos ou desatualizados; e (iv) da eliminação dos dados pessoais tratados com o consentimento do titular.

Ainda nesse sentido, é facultado ao agente de tratamento de pequeno porte, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

Ainda que a minuta da resolução reforce a importância no atendimento às requisições dos titulares dos dados pessoais, seu texto prevê a dispensa das seguintes obrigações:

  • De fornecer a declaração clara e completa de que trata o artigo 19, inciso II, da LGPD.
  • De conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto conforme artigo 18, inciso V, da LGPD.

Registro das atividades e RIPD

A minuta de resolução também determina que fica dispensada aos agentes de tratamento de pequeno porte a obrigação de manutenção de registros das operações de tratamento de dados pessoais constante do artigo 37 da LGPD.

Quanto a isso, “a ANPD fornecerá modelos para o registro voluntário e simplificado das atividades de tratamento por agentes de pequeno porte”, que serão levados em consideração nos casos de responsabilização e prestação de contas, conforme artigo 6º, X, da LGPD, bem como para aplicação das sanções administrativas do artigo 52, de competência exclusiva da ANPD, no que tange à adoção de boas práticas de governança e mecanismos capazes de minimizar os riscos da atividade de tratamento.

A minuta ainda destaca no artigo 11 que “os agentes de tratamento de pequeno porte podem apresentar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) de forma simplificada quando for exigido”.

Ainda sobre as questões de comunicação de incidente, a ANPD prevê na minuta que ela poderá dispor por meio de resolução específica sobre a dispensa, a flexibilização ou o procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte.

DPO ou Encarregado

Outra importante flexibilização fortemente sinalizada na fase de Tomada de Subsídios foi a não obrigatoriedade da indicação pelos agentes de pequeno porte de DPO ou Encarregado. No entanto, caso não indique, a empresa deverá disponibilizar canal de comunicação direto com o titular de dados.

Segurança e Boas Práticas

De acordo com a minuta da ANPD, os chamados agentes de pequeno porte “devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento”. A Autoridade vai disponibilizar a esses agentes guia orientativo sobre segurança da informação.

Outra previsão é que os agentes de pequeno porte podem estabelecer políticas simplificadas de segurança da informação, que contemplem requisitos essenciais para o tratamento de dados pessoais. Isso deve acontecer como forma de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A ANPD levará em consideração a existência de políticas de segurança para os casos de aplicação das sanções administrativas previstas no artigo 52 da LGPD, que estão em vigor desde 1º de agosto de 2021.

Prazos diferenciados

A minuta de resolução que regulamenta a aplicação da LGPD aos agentes de tratamento de pequeno porte prevê a concessão de prazo em dobro:

  • No atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
  • Na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, exceto quando houver potencial comprometimento à integridade dos titulares ou à segurança nacional, quando o prazo será o mesmo que o aplicado aos demais agentes;
  • Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Outras resoluções

A minuta divulgada em 30 de agosto prevê que todos os detalhes não especificados aos agentes de tratamento de pequeno porte serão divulgados em resoluções próprias.

Por fim, a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento de obrigações dispensadas ou flexibilizadas na resolução específica, “considerando as circunstâncias relevantes da situação, tais como natureza e volume das operações, riscos para os titulares e sensibilidade/criticidade dos dados tratados”, sendo sempre assegurado o direito ao contraditório e à ampla defesa.

Para mais informações, entre em contato com a Startup.OBA, área do Opice Blum, Bruno e Vainzof Advogados Associados voltada para o atendimento de startups e outros agentes de inovação.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp