Foto do(a) blog

Notícias e artigos do mundo do Direito: a rotina da Polícia, Ministério Público e Tribunais

Proteção de dados simplificada: a LGPD para os agentes de tratamento de pequeno porte

PUBLICIDADE

Por Daniele Verza Marcon e Luiza Coelho Guindani
Atualização:
Daniele Verza Marcon e Luiza Coelho Guindani. FOTOS: DIVULGAÇÃO Foto: Estadão

A Autoridade Nacional de Proteção de Dados (ANPD) submeteu à consulta pública, em 30.08.2021, a minuta de resolução que regulamentará a aplicação da Lei Geral de Proteção de Dados (Lei 13.709/2018 - "LGPD") para agentes de tratamento de pequeno porte, isto é, os "pequenos" controladores e operadores responsáveis pelo tratamento de dados pessoais. Ainda não há previsão de quando essa resolução entrará em vigor.

PUBLICIDADE

A grande novidade é a proposta de uma LGPD "flexibilizada", que, se implementada, viabilizará uma maior compatibilização entre a complexidade das medidas de segurança da informação com os custos envolvidos nessa adaptação, permitindo que também agentes com menos recursos possam promover a proteção de dados pessoais dos titulares.

Para isso, a ANPD propôs a criação de uma nova categoria de agente de tratamento, que abarca, dentre outros, as startups, microempresas e empresas de pequeno porte. Além do tamanho do agente, a flexibilização pressupõe que a atividade de tratamento realizada não seja de alto risco ou em larga escala. Assim, startups que tratem dados sensíveis (raça, dados de saúde etc.), façam uso de "tecnologia emergente que possa causar danos morais ou materiais" ou tratamento automático de dados, por exemplo, não poderão se aproveitar da flexibilização, porque tais hipóteses se enquadram no tratamento de "alto risco".

As hipóteses definidas como "alto risco" devem ser vistas com cautela, todavia, especialmente porque poderão limitar demasiadamente aqueles que poderão se valer da flexibilização. Tal como está, a norma não abarcaria startups que utilizam tecnologias inovadoras e ainda não consolidadas, como a inteligência artificial e a internet das coisas.

Dentre as medidas sugeridas para simplificação está a dispensa de manutenção de registro das operações de tratamento. Embora seja recomendável a manutenção de alguns registros, a dispensa é interessante porque reduz consideravelmente os custos incorridos para o armazenamento de dados pessoais.

Publicidade

Outro ponto positivo é a dispensa da obrigação de indicar um Encarregado - o DPO brasileiro - isto é, uma pessoa dedicada a atuar como canal de comunicação entre o controlador, titulares e a ANPD. Em seu lugar, pode-se apenas disponibilizar um canal de comunicação com o titular. A sugestão vem em bom momento, especialmente porque essa é uma das principais dúvidas de clientes que buscam se adequar à LGPD.

Também é positiva a sugestão de adoção de "medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação". Além de reduzir custos, a expressa previsão de que bastam "requisitos mínimos" certamente será relevante diante da fiscalização por órgãos de defesa do consumidor e pela própria ANPD, bem como na apuração de eventual responsabilidade civil em demandas judiciais ajuizadas por titulares. E tudo isso sem afetar a proteção e os direitos dos titulares, especialmente porque requisitos mínimos de segurança, no mais das vezes, já podem ser suficientes.

Nem tudo, porém, "simplifica" na prática. A proposta prevê prazo em dobro para o atendimento de solicitações dos titulares e da ANPD, bem como para a comunicação de incidentes de segurança, "exceto quando houver potencial comprometimento à integridade dos titulares ou à segurança nacional". Com relação ao último item, porém, vale notar que embora a ANPD tenha recomendado o prazo de até 2 dias úteis, ainda não há regulamentação específica sobre o tema. Além disso, a redação genérica sobre o que caracterizaria um "potencial comprometimento" abre margem para dúvidas sobre quais serão os critérios para se concluir pela possibilidade ou não de se usufruir de maior prazo.

Além das simplificações propostas na regulamentação, viabilizando a redução de custos relacionados à implementação da LGPD, a ANPD também deverá elaborar guias com orientações para auxiliar agentes de tratamento de pequeno porte a cumprir a lei. A redação final da regulamentação ainda sofrerá modificações, mas, por ora, a ANPD deu mais um passo importante para fomentar a cultura de proteção de dados no Brasil.

*Daniele Verza Marcon e Luiza Coelho Guindani, sócias das áreas de Proteção de Dados e Startup Hub de Souto Correa Advogados

Publicidade

Comentários

Os comentários são exclusivos para assinantes do Estadão.