Por Camila Del Sasso, Camilla Chicaroni e Lorena Serraglio
Desde a plena entrada em vigor da Lei Geral de Proteção de Dados (Lei n° 13.709/2018 – “LGPD”), que se deu em agosto de 2021, a Autoridade Nacional de Proteção de Dados (“ANPD”) assumiu uma postura significante e bastante sólida no cenário de proteção de dados do Brasil, emitindo diversos Guias, Comunicados, Resoluções, inclusive em conjunto com outros órgãos/autoridades.
Nesse contexto e em atenção à situação fática das empresas brasileiras, a ANPD publicou a Resolução n° 2, datada de 27 de janeiro de 2022, que “Aprova o Regulamento de aplicação da Lei n° 13.709/2018, (...), para agentes de tratamento de pequeno porte” (“Resolução”). Tal publicação representa um marco no âmbito de privacidade e proteção de dados, vez que as empresas menores e que possuem menos recursos humanos e orçamentários, poderão adequar-se à LGPD dentro de condições especiais, incentivando e ampliando a implementação da cultura da proteção de dados para agentes de tratamento de diferentes portes.
A referida Resolução estabelece regulamentações e oferece um tratamento jurídico diferenciado para os agentes de tratamento de dados pessoais considerados de pequeno porte. Podem ser classificados como tal, conforme disposto no artigo 2º da Resolução, as “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”. No entanto, para o enquadramento como agente de tratamento de pequeno porte, os requisitos e conceitos estabelecidos nos artigos 2º e 3º da Resolução precisam ser avaliados com cautela.
A Resolução faz ressalvas quanto ao perfil de agentes que se enquadram na classificação acima, mas que não poderão se beneficiar do tratamento jurídico diferenciado previsto. São aqueles que: (i) Realizam tratamento de alto risco para os titulares; (ii) Aufiram receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais[1]); e no caso de startups, aufiram receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses[2]; e (iii) Pertencem a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites estabelecidos no item acima.
O tratamento de dados pessoais será considerado de alto risco quando atender cumulativamente a pelo menos um critério geral e um critério específico, estabelecidos nos incisos I e II do artigo 4º do referido dispositivo: “I - critérios gerais: a) tratamento de dados pessoais em larga escala; ou b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares; II - critérios específicos: a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos”[3].
Posto isto, a Resolução prevê uma série de temas chave da LGPD com disposições especiais facilitadas para as empresas enquadradas como agente de tratamento de pequeno porte, incluindo: (i) direitos do titular; (ii) registro das atividades de tratamento; (iii) comunicação de incidentes de segurança; (iv) nomeação de encarregado pelo tratamento de dados pessoais; (v) medidas de segurança da informação e (vi) prazos diferenciados.
Apesar das condições especiais, os agentes de tratamento de pequeno porte não ficam dispensados do cumprimento das demais disposições da LGPD, com destaque para as bases legais e princípios[4]. Os artigos 7° e 8° da Resolução, por exemplo, mantém a obrigação dos agentes de tratamento de pequeno porte em assegurar os direitos dos titulares dos dados previstos nos artigos 9° e 18 da LGPD, incluindo a possibilidade dos agentes em disponibilizar as informações em qualquer meio que possua acesso facilitado aos titulares.
Além disso, os agentes de tratamento de pequeno porte também possuem a faculdade de se organizar por meio de entidades de representação da atividade empresarial para fins de negociação, mediação e conciliação das solicitações de titulares.
O artigo 9° traz a disposição de que os agentes de tratamento de pequeno porte poderão manter os registros das operações de tratamento de dados pessoais de forma simplificada, conforme modelo que a ANPD fornecerá. Seguindo a lógica da Resolução, o artigo 10 prevê que a ANPD irá dispor sobre flexibilização/simplificação da comunicação de incidentes de segurança para à ANPD e titulares, quando cabível, através de regulação específica.
Um dos mais importantes tópicos da Resolução, que refletirá em diminuição de custos e de pessoal para os agentes de pequeno porte, é a possibilidade de dispensa de nomeação do encarregado pelo tratamento dos dados pessoais. A nomeação deixa de ser obrigatória e torna-se uma boa prática de governança. Entretanto, os agentes de pequeno porte devem continuar fornecendo um canal de comunicação com seus titulares, em atenção aos princípios de privacidade e proteção de dados pessoais, em especial, o da transparência[5].
Os artigos 12 e 13 trazem a possibilidade de adoção de uma Política de Segurança da Informação simplificada pelos agentes de pequeno porte, considerando os detalhes do processamento, bem como a natureza dos dados, compartilhamentos, prazos de retenção, etc.
Já os artigos 14 e 15 concedem prazo em dobro para: atender os direitos dos titulares, comunicação da ANPD e titulares em casos de incidentes de segurança; fornecimento de declaração; apresentação de informações, documentos, relatórios e correlatos solicitados pela ANPD e outros agentes de tratamento, bem como o prazo de 15 dias para fornecer a declaração simplificada do artigo 19, I, da LGPD.
Sendo assim, percebe-se que a referida Resolução foi criada com o objetivo de trazer equilíbrio para a adaptação dos agentes de tratamento de pequeno porte às regras da LGPD, oferecendo um tratamento jurídico diferenciado ao dispensar ou flexibilizar o cumprimento de normas da referida Lei e, ao mesmo tempo, resgatar a importância da cultura de proteção de dados pessoais. Ou seja, fica evidente que a referida norma foi criada para favorecer e fortalecer o cumprimento da legislação de proteção de dados, combinando isto com a necessidade de crescimento e desenvolvimento das empresas de pequeno porte, microempresas e startups no país, de modo a equilibrar a viabilidade operacional e de recursos de tais agentes, mas garantindo proteção aos direitos dos titulares.
Os próximos meses serão de extrema importância para compreendermos como será de fato a aplicabilidade da referida Resolução e seus impactos na rotina das empresas, bem como a edição de novas normas, enunciados, guias pela ANPD.
[1] Artigo 3º, II da Lcp 123 (planalto.gov.br)
[2] Artigo 4º, parágrafo 1º, I, da Lcp 182 (planalto.gov.br)
[3] Artigo 4º da Resolução n° 2 de 27 de janeiro de 2022 da ANPD
[4] Artigo 6° da Resolução n° 2 de 27 de janeiro de 2022 da ANPD
[5] Artigo 11 da Resolução n° 2 de 27 de janeiro de 2022 da ANPD