A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 27 de janeiro de 2022, a Resolução nº 02/2022, que regulamenta a aplicação da Lei Geral de Proteção de Dados (LGPD) aos agentes de tratamento de pequeno porte.
O grande objetivo dessa resolução, que era bastante aguardada pelo ecossistema, é trazer equilíbrio para a adequação dos agentes de tratamento de pequeno porte às regras da LGPD, ao mesmo tempo em que garante os direitos dos titulares dos dados. A tendência, portanto, é que diminua o custo para que tais empresas se adequem à LGPD.
Para o fim dessa resolução, entende-se como agentes de tratamento de pequeno porte as: i) microempresas; ii) empresas de pequeno porte; iii) startups; iV) pessoas jurídicas de direito privado sem fins lucrativos; e v) pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais com fins econômicos, desde que: i) não realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º; ii) não aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123/2006, hoje fixado em R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), ou, no caso de startups, no limite estabelecido no art. 4º, § 1º, I, da Lei Complementar nº 182/2021, hoje fixado em R$ 16.000.000,00 (dezesseis milhões de reais); ou iii) não pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item II, conforme o caso.
O tratamento de alto risco que exclui os agentes de tratamento de pequeno porte de se beneficarem dessa resolução é aquele que atenda cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
I - critérios gerais:
a) tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, ou seja, dentre outras situações, quando a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
II - critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Portanto, mesmo que a sua empresa seja um agente de tratamento de pequeno porte, a ANPD poderá não lhe garantir os benefícios dessa resolução caso verifique a existência de alguma das excludentes acima. Caberá à empresa comprovar, quando necessário, no prazo de 15 dias, que se enquadra a todos os critérios da lei.
Dentre os benefícios concedidos aos agentes de tratamento de pequeno porte, os mais consideráveis são:
Possibilidade de cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, de acordo com o modelo a ser fornecido pela ANPD;
Não obrigatoriedade de indicar encarregado pelo tratamento de dados pessoais (DPO), desde que disponibilize um canal de comunicação com o titular de dados;
O atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será considerado como atenuante a eventual aplicação de sanções;
Possibilidade de estabelecer política simplificada de segurança da informação, desde que garanta a completa proteção contra os principais problemas, como acessos não autorizados, destruição, perda, alteração etc.;
Concessão de prazo em dobro para atendimento das solicitações dos titulares, para a comunicação à ANPD e aos titulares quanto à ocorrência de incidentes de segurança, no fornecimento de declaração clara e completa e em relação aos prazos estabelecidos nos normativos da ANPD;
Fixação do prazo de 15 dias para fornecimento de declaração simplificada, contados da data do requerimento do titular.
Muito embora a resolução tenha sido um importante passo da atarefada ANPD, que ainda precisa regulamentar uma série de itens da LGPD ainda pendentes de regulamentação, o fato é que essa regulamentação não trouxe assim tantos benefícios aos agentes de tratamento de pequeno porte, o que é compreensível, visto a enorme dificuldade de se flexibilizar um direito fundamental, que é o direito à proteção de dados.
Tendo em vista as excludentes bastante abrangentes previstas nessa resolução, os agentes de tratamento de pequeno porte, especialmente as startups, precisam ficar atentos, pois em muitas situações não poderão usufruir das concessões previstas nesse normativo. Portanto, como boa prática, e também como forma de mitigar riscos de não conformidade, aconselha-se que os agentes de tratamento de pequeno porte apenas se apoiem nessa resolução se realmente tiverem a certeza que nenhuma das excludentes estão presentes, caso contrário poderão sofrer as sanções previstas na LGPD, além de ficarem refém às demais penalidades e indenizaçoes legais.
Artigo escrito pelo advogado Caio Bennemann Belo, sócio do escritório Pazzoto, Pisciotta & Belo Sociedade de Advogados.
Veja todas as publicações