A APLICABILIDADE DA LGPD AOS AGENTES DE TRATAMENTO DE PEQUENO PORTE
A Autoridade Nacional de Proteção de Dados (ANPD), após apaziguar inúmeras controvérsias na aplicação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados ou LGPD), em um de seus pronunciamentos mais recentes, veiculado em seu site oficial no último dia 10 [1], avançou com uma de suas agendas mais aguardadas ao publicar uma primeira minuta de resolução, visando a regulamentar a aplicação da LGPD aos agentes de tratamento de pequeno porte, assim consideradas as microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais, entes despersonalizados e aqueles que possuam receita bruta anual de até R$ 16 milhões, que representam a esmagadora maioria das empresas em atividade no Brasil, lançando o que pode ser considerado um primeiro feixe de luz sobre a questão.
Até referido pronunciamento, diversos questionamentos pairavam sobre a forma de aplicação dos preceitos da LGPD aos agentes de tratamento de pequeno porte, o que vinha gerando grande insegurança e expectativa, inclusive entre seus proprietários e administradores, os quais, apesar da inequívoca vigência da LGPD e possibilidade de penalização, não contavam com a segurança jurídica necessária para trilharem convictamente sua jornada de adequação à referida lei. Longe de ser um ponto final, dado que ainda haverá a realização de consulta pública sobre seu conteúdo, a minuta de resolução trouxe uma prévia do que está por vir e que, mantendo a essência de sua proposta inicial, trará significativas novidades aos agentes de tratamento de pequeno porte. Por um lado, confirmando muitas das previsões que antecederam referido pronunciamento, teremos a observância obrigatória da LGPD por parte dos agentes de tratamento de pequeno porte, por outro, inovando significativamente, temos inúmeras flexibilizações quando aos preceitos legais.
Dado que impactam diretamente os agentes de tratamento de pequeno porte, ecoando em maior ou menor grau no seu planejamento orçamentário, portfólio de projetos e operação, este artigo pretende trazer um panorama das principais flexibilizações contidas na referida minuta de regulamentação, sendo possível afirmar que conhecê-las agora poderá fazer significativa diferença.
Antes, contudo, de adentrar nas flexibilizações propriamente ditas, é importante destacar que a minuta prevê como excepcionais as hipóteses em que houver tratamento de alto risco e em larga escala [2] [3], nas quais, mesmo tratando-se de agente de tratamento de pequeno porte, referidas flexibilizações não serão aplicáveis.
Quanto às flexibilizações propriamente ditas, a minuta propõe desde simplificações operacionais, até a dispensa de obrigações mais complexas e onerosas. Entre elas, podemos destacar as que se referem aos seguintes artigos da LGPD:
"Artigo 18 — Passa a ser do agente a opção entre anonimizar, bloquear ou excluir os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD; e fica dispensada a obrigatoriedade de portar dados a outro fornecedor de produtos ou serviços.
Artigo 19 — Passa a ser uma escolha do agente o meio de atendimento aos titulares, se físico ou digital; dobra o prazo de atendimento aos titulares; dobra o prazo para comunicar incidentes à autoridade nacional e ao titular; e fica dispensada a obrigatoriedade de fornecer declaração completa aos titulares, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
Artigo 37 — Fica dispensada a obrigatoriedade de manter registros dos tratamentos realizados.
Artigo 38 — Cria-se a possibilidade de apresentação de Relatório de Impacto simplificado.
Artigo 41 — Fica dispensada a nomeação de encarregado de dados, bastando a disponibilização de simples canal de comunicação.
Artigo 48 — Cria-se a possibilidade de a ANPD dispensar, flexibilizar ou simplificar o procedimento de comunicação de incidentes à autoridade nacional e ao titular.
Sem previsão legal expressa: Fica dispensada a obrigatoriedade de ter uma Política de Segurança da Informação, podendo optar por tê-la de forma simplificada; e fica a critério do agente de tratamento fazer-se representar por entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados".
Entre as flexibilizações mencionadas, a duplicação de prazos, a simplificação do relatório de impacto e a dispensa da obrigatoriedade de portar dados a outros fornecedores, de fornecer declaração completa aos titulares, manter inventário de dados e nomear encarregado de dados, podem ser destacadas como extremamente relevantes para qualquer projeto de adequação à LGPD, modificando significativamente seu custo, cronograma e esforço de manutenção. Assim, ainda que a resolução não esteja em sua versão final e haja a necessidade de se continuar atento aos desdobramentos da questão, a minuta divulgada já revela muito da interpretação da ANPD sobre o tema, o que é deveras relevante, considerando que se trata do principal órgão regulador e fiscalizador da matéria no Brasil.
Por fim, vale o alerta para aqueles que ainda não se adequaram à LGPD, mesmo se enquadrando no conceito de agente de tratamento de pequeno porte abordado neste artigo, de que o momento de se adequar é agora, haja vista que a LGPD já está em vigor desde setembro de 2020, suas sanções passaram a vigorar em agosto deste ano e já temos diversas decisões em diferentes esferas judiciais responsabilizando agentes de tratamento de dados devido ao descumprimento dos preceitos da LGPD, a qual vem sendo cotidianamente aplicada, ainda que diversos questionamentos continuem pairando sobre seu conteúdo. Lembrando que os agentes de tratamento, ainda que na posição de operadores [4], ocupam uma posição ativa com relação à proteção de dados pessoais, eivada de tamanho protagonismo que a LGPD prevê a possibilidade de responsabilização, tanto individual, quanto solidária, na qual o operador responde em pé de igualdade com o controlador [5], nos termos do artigo 42 da LGPD, garantindo-se ao titular dos dados maiores chances de ser indenizado.
[1] Acesso ao pronunciamento na integra disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-apresenta-informacoes-adicionais-sobre-audiencia-publica-da-norma-de-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte
[2] Tratamento de alto risco: aqueles que envolvam: I — dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos; II — vigilância ou controle de zonas acessíveis ao público; III — uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; IV — tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; V — outros assim considerados pela ANPD.
[3] Tratamento de larga escala: aqueles que abranjam número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. Excepcionam-se os tratamentos de dados de funcionários ou para fins exclusivos de gestão administrativa do agente de tratamento de pequeno porte.
[4] Operador de dados: a quem compete o tratamento Dados Pessoais de acordo com as instruções do Controlador.
[5] Controlador de dados: a quem competem as decisões referentes ao tratamento de Dados Pessoais, especialmente relativas às finalidades e os meios de tratamento de Dados Pessoais.