Deste a entrada em vigor da Lei Geral de Proteção de Dados - LGPD, muito tem se debatido a respeito das incertezas regulatórias que orbitam o universo da regulação do tema perante as microempresas, empresas de pequeno porte e startups. Dentre as inúmeras indefinições, uma em especial tem tirado o sono da maioria dos empreendedores: a obrigatoriedade de indicação de um Encarregado/DPO (Data Protection Officer, conforme previsto no Regulamento Geral de Proteção de Dados da União Europeia - GDPR).
Antes de mais nada, importante esclarecer que, nos termos da Lei, o Encarregado/DPO é o responsável dentro da empresa por aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, bem como executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A expectativa em relação à obrigatoriedade da sua nomeação é plenamente justificável, não apenas por conta do tratamento diferenciado dispensado a estas empresas no Brasil, ou pela possibilidade real de aplicação de sanções pela Agência Nacional de Proteção de Dados - ANPD, mas principalmente porque a própria LGPD prevê que cabe à autoridade nacional o estabelecimento das hipóteses de dispensa da necessidade de sua indicação, levando em conta "a natureza e o porte da entidade ou o volume de operações de tratamento de dados".
Entretanto, as preocupações derivadas desta indefinição estão com os dias contados, na medida em que a ANPD abriu, no final do mês de agosto, consulta pública sobre as regras específicas para micro e pequenas empresas, startups e pessoas jurídicas sem fins lucrativos (associações, fundações, organizações religiosas, partidos políticos etc.), além de pessoas naturais que também realizem tratamento de dados.
Na perspectiva da agência, a minuta de resolução apresentada visa permitir que referidas empresas, identificadas como "Agentes de Tratamento de Pequeno Porte" - ATPP, adotem procedimentos simplificados e diferenciados no trato de dados pessoais, facilitando o processo de adequação à Lei e estimulando a cultura de proteção de dados pessoais, sempre com a perspectiva de que tais medidas não contrariem os direitos assegurados aos titulares.
Em termos práticos, o principal tópico da resolução trata da dispensa dos ditos Agentes de Tratamento de Pequeno Porte - ATPP - do dever de nomeação do Encarregado/DPO, estabelecendo que aqueles que optarem por fazer uso desta licença devem disponibilizar um canal de comunicação com o titular de dados, sendo facultada a possibilidade de se fazerem representar por entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Vale destacar que esta proposta de dispensa de contratação de Encarregado/DPO abarca, inclusive, os ATPP que realizem tratamento de dados tidos como de alto risco e em larga escala.
Além disso, a medida também flexibiliza outras obrigações destes agentes, dentre elas:
- Possibilidade de optar pelo atendimento das requisições dos titulares por meio eletrônico ou impresso;
- Dispensa da obrigação de conferir portabilidade dos dados a outros fornecedores de produtos ou serviços;
- Autorização para fornecimento de declaração simplificada de confirmação da existência de tratamento de dados pessoais, estando dispensada a entrega da declaração completa de tratamento;
- Permissão para que apresentem relatório de impacto à proteção de dados pessoais de forma simplificada e apenas quando for exigido;
- Conceção de prazo em dobro para atendimento das solicitações de titulares, comunicação à ANPD e ao titular da ocorrência de incidente de segurança.
Outro ponto relevante para estes agentes diz respeito à dispensa da obrigação de manutenção de registro das operações de tratamento de dados pessoais realizadas, prevendo que a possibilidade de apresentação de relatório de impacto à proteção de dados pessoais de forma simplificada, quando for exigido.
No que tange às questões de segurança da informação e boas práticas, a resolução sinaliza que a ANPD disponibilizará guia orientativo com recomendações quanto às medidas administrativas e técnicas essenciais e necessárias a serem adotadas, sempre levando em consideração o nível de risco à privacidade envolvido e a realidade do agente de tratamento, possibilitando que estes estabeleçam políticas simplificadas de segurança da informação, que contemplem requisitos essenciais para o tratamento.
Esta política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte, bem como a sensibilidade e a criticidade dos dados tratados diante dos direitos e liberdades do titular.
Apesar das dispensas e flexibilizações previstas, os termos da resolução não se aplicam aos ATPP que realizem tratamentos tidos como de alto risco para os titulares e em larga escala, sendo assim caracterizadas as operações que envolvam:
- Dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
- Vigilância ou controle de zonas acessíveis ao público;
- Uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
- Tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Por fim, resta aberta uma brecha fiscalizatória, na medida em que, a depender da natureza e volume das operações, dos riscos para os titulares, a sensibilidade e a criticidade dos dados tratados, a ANPD poderá determinar extraordinariamente a estes agentes o cumprimento de obrigações dispensadas ou flexibilizadas pela resolução.
Os termos da proposta apresentada têm sido alvo de críticas por parte de estudiosos do tema, especialmente em relação à dispensa de registro das operações tratamento, contratação de Encarregado/DPO e atendimento disponibilização dos dados para portabilidade.
Outro ponto crítico apontado diz respeito à indicação do Marco Legal das Startups (LC 182/2021) como base para definição das instituições que fariam jus às flexibilizações sugeridas, o que possibilitaria que empresas com faturamentos milionários estivessem dispensadas de atender a estas determinações da LGPD, causando inequívoco desrespeito às garantias constitucionais de livre iniciativa.
A consulta pública, que inicialmente estava disponível na plataforma "Participa mais-Brasil" até o dia 29 de setembro, foi prorrogada até o dia 14 de outubro, mantendo-se inalterado o canal para envio de contribuições (https://www.gov.br/participamaisbrasil/minuta-de-resolucao-para-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte-), no qual ainda é possível consultar os votos proferidos pelos diretores e um tutorial sobre como participar.
*David Fernando Rodrigues é advogado e sócio do escritório Montaury Pimenta, Machado e Vieira de Mello
