Medidas tendem a facilitar a adoção e aplicação de programa de privacidade por pequenas empresas e startups

O Conselho Diretor da Autoridade Nacional de Proteção de Dados – ANPD – aprovou no último dia 28/01 (sexta-feira) regulamento para a aplicação da LGPD (CD/ANPD n.2 de 2/1/2022) por agentes de tratamento de pequeno porte. O objetivo é possibilitar às pequenas cumprirem a Lei, de forma mais simples, sem se afastar dos princípios que a definem.

Dentre as simplificações aprovadas, além da possiblidade dessas empresas fazerem uso de políticas simplificadas de segurança da informação, elas terão maior prazo para responder a solicitações de titulares de dados pessoais (de 15 para 30 dias), maior prazo para a comunicação de incidente de segurança à ANPD, a ser determinado em futura regulamentação, juntamente com os procedimentos especiais para a comunicação. Poderão também utilizar modelo simplificado de registro das operações de tratamento de dados pessoais, que será oportunamente disponibilizado pela Autoridade, entre outros.

Foi também abrandada a exigência da indicação, por esses agentes de tratamento, de um Encarregado de Dados (DPO). Isso, todavia, não desobriga essas empresas do cumprimento das obrigações previstas na LGPD, como o atendimento aos direitos dos titulares e a adoção de medidas técnicas e administrativas para a prevenção e segurança dos dados tratados. E mais, a existência do Encarregado de Dados, ainda que dispensada pela regulamentação, representa um importante elemento de compliance da empresa com a Lei, e será considerada uma boa prática pela ANPD, no caso de aplicação de sanções administrativas.

A ANPD classifica como agente de tratamento de pequeno porte as microempresas, as empresas de pequeno porte e as startups, conforme as legislações correspondentes, que atuem como controladores ou operadores de dados pessoais.

O regulamento exclui desse grupo, e, portanto, continuam obrigadas a cumprir todas as exigências da lei, as empresas que realizam tratamento de dados pessoais em larga escala ou quando tal tratamento possa afetar significativamente interesses e direitos fundamentais dos titulares, e também se encaixem em pelo menos um dos seguintes critérios específicos:

1. uso de tecnologias emergentes ou inovadoras;
2. vigilância ou controle de zonas acessíveis ao público;
3. decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
4. utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Na prática, essa regulamentação atinge apenas as empresas que se classifiquem na legislação como startups, micro ou pequenas empresas, que em seu modelo de negócio não tratem informações em larga escala ou com risco considerável a seus titulares, e que não se encaixem em nenhum dos critérios específicos acima, como empresas atuantes na área da saúde e crédito.

Alguns desses critérios guardam um certo grau de subjetividade, e provavelmente serão objeto de futuros esclarecimentos pela própria Autoridade. É certo, no entanto, que a grande maioria das empresas minimamente estruturadas terá dificuldade em se enquadrar nestas condições. E para aquelas que optarem em dispensar a nomeação de um encarregado (DPO), restará ainda a obrigação de atender as demais exigências da LGPD, provavelmente com alguém que irá dividir seu tempo entre a gestão da privacidade e outras responsabilidades.