No final de janeiro de 2022, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) aprovou uma nova resolução na qual instituiu o Regulamento de Aplicação da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte*.
A resolução já era aguardada já que, em virtude da temática em questão – dados pessoais e informações – empresas de pequeno porte estavam sujeitas a uma série de ações práticas, técnicas e formais para cumprir suas obrigações legais que demandavam uma dispendiosa quantidade de recursos humanos e financeiros.
Nesse contexto, os pequenos negócios e aqueles ainda em fase “embrionária” no mercado ficaram prejudicados, pois os seus recursos são limitados para cumprir todas as obrigações exigidas pela LGPD.
Dentre alguns dos benefícios diferenciados da nova resolução podemos citar:
– O registro simplificado das operações de tratamento de dados pessoais;
– A dispensa da obrigação de indicação de um encarregado pelo tratamento de dados pessoais (“DPO”);
– A flexibilização dos procedimentos de notificação de eventuais incidentes de segurança;
– A possibilidade de instituir uma política simplificada de segurança da informação.
Resta saber quais empresas e negócios podem, de fato, ser beneficiadas pelas flexibilizações instituídas. Como regra, o Regulamento enquadra como agentes de tratamento de pequeno porte as “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam
tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.
O problema é que não basta que a instituição esteja enquadrada em alguma das categorias elencadas pelo Regulamento para auferir os benefícios jurídicos criados. O motivo disso é que, na área de proteção de dados pessoais, mesmo organizações com um corpo burocrático muito pequeno (4 ou 5 pessoas, por exemplo) podem gerar um potencial de danos elevadíssimos para os titulares dos dados e para a sociedade no geral.
São exemplos as empresas de aplicativos ou aquelas que utilizam tecnologias inovadoras para o oferecer serviços diferenciados, especialmente quando o núcleo de seus modelos de negócio seja composto pela utilização de dados pessoais.
É nessa linha que o Regulamento adota um outro parâmetro como condição de aplicação de suas regras de flexibilização das obrigações da LGPD: o fator risco. As empresas e organizações que realizam tratamento de alto risco para os titulares não poderão se beneficiar do tratamento jurídico diferenciado instituído pelo Regulamento.
A própria norma regulamentar apresenta alguns critérios (gerais e específicos) para possibilitar a identificação de um tratamento de alto risco como: volume de dados tratados, uso de tecnologias disruptivas e a própria categoria de dados tratados.
Contudo, as análises dessa natureza são, como regra, contextuais, isto é, recaem sobre a observância combinada de um conjunto de fatores existentes na empresa e em seu modelo de negócio.
Por isso, em caso de dúvidas, montar uma equipe multidisciplinar para avaliar a situação pode ser uma boa alternativa, assim como buscar por uma assessoria externa especializada.
Conte com o nosso escritório em caso de dúvidas.
* Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, publicada no diário oficial da união em: 28/01/2022 | edição: 20 | seção: 1 | página: 6.
Por: Felipe Grizotto Ferreira