No dia 28/1, foi publicada a Resolução nº 2 da Autoridade Nacional de Proteção de Dados (ANPD), que trata da aplicação diferenciada dos requisitos da LGPD para agentes de tratamento de pequeno porte, quais sejam, microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais.
A ideia da nova norma foi a de flexibilizar ou simplificar regras da LGPD, uma vez que a aplicação de determinados requisitos para tais agentes de pequeno porte poderia inviabilizar suas atividades, onerar muito seu negócio ou simplesmente ser de impossível execução.
Entretanto, nem todos os agentes de pequeno porte poderão gozar dos benefícios trazidos pela nova resolução, estando fora de seu escopo aqueles que (i) realizem tratamento de dados pessoais de alto risco ou (ii) aufiram, individualmente ou dentro da soma com empresas de seu grupo econômico, receita bruta superior a R$ 4,8 milhões/ano (ou R$ 16 milhões/ano no caso de startups).
A nova resolução traz uma singular metodologia para a avaliação sobre a existência de tratamento de dados pessoais de alto risco. Para receber tal classificação, a atividade deverá cumular pelo menos um critério geral e um critério específico, dentre os seguintes:
Critérios gerais:
- Tratamento em larga escala (aquele que envolve número significativo de titulares, levando em conta volume de dados, duração, frequência e extensão geográfica do tratamento);
- Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Critérios específicos:
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de zonas acessíveis ao público;
- tomada automatizada de decisões;
- tratamento envolvendo dados sensíveis ou dados de crianças, adolescentes e idosos.
Já é possível prever um enorme espaço de argumentação para os juristas que forem debruçar-se sobre a discussão sobre a existência de tratamento de dados pessoais de alto risco. A própria resolução, possivelmente já prevendo a confusão, estabelece a possibilidade de a ANPD disponibilizar guias e orientações para avaliações de tratamentos de alto risco.
Dentre os benefícios trazidos pela resolução, estão:
(i) a aceitação do registro de operações de tratamento de dados pessoais de forma simplificada (cujo modelo será fornecido pela ANPD);
(ii) a flexibilização ou procedimento simplificado de comunicação de incidentes de segurança;
(iii) a retirada da obrigação de indicar encarregado pelo tratamento de dados pessoais (o data protection officer – DPO);
(iv) a possibilidade de estabelecimento de política simplificada de segurança da informação; e
(v) a contagem em dobro de determinados prazos, como o de atendimento das solicitações de titulares e o da comunicação à ANPD e titulares de dados da ocorrência de incidentes de segurança.
Será bastante interessante acompanhar a aplicação dessa nova norma nas discussões envolvendo o tratamento de dados pessoais por agentes de pequeno porte, pensando sempre que as maiores dúvidas de cunho prático dentro da matéria de proteção de dados ainda estão por vir e as normas hoje existentes poderão por bem ser sempre revistas, complementadas e substituídas.
Luiza Sato, sócia, da área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ.
[…] da ANPD para micro e pequenas empresas. tiinside, 28 de janeiro de 2022. Disponível em: https://tiinside.com.br/28/01/2022/os-beneficios-da-nova-resolucao-da-anpd-para-micro-e-pequenas-emp…. Acesso em 11 de fevereiro de […]