A Autoridade Nacional de Proteção de Dados abriu nesta segunda, 30/8, consulta pública sobre as regras específicas para micro e pequenas empresas, startups e pessoas jurídicas sem fins lucrativos, além de pessoas naturais que também realizem tratamento de dados. Em boa medida, livram esses atores de diversas obrigações previstas na Lei Geral de Proteção de Dados (Lei 13.709/18). E uma das principais é a dispensa de que as pequenas mantenham encarregado de dados, o DPO brasileiro.
“Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD”, aponta a norma proposta. Nesse caso, porém, deve existir um meio de receber notificações dos titulares. “O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados.”
Segundo a ANPD, a minuta de resolução apresenta a possibilidade de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade desse grupo à LGPD e contribuindo para a disseminação da cultura de proteção de dados pessoais. “Essa alternativa regulatória visa a garantir os direitos dos titulares, ao tempo em que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados”, defende o relator da proposta no conselho diretor da Autoridade, Arthur Sabbat.
A proposta faculta aos agentes de tratamento de pequeno porte, inclusive àqueles que realizam tratamento de alto risco e em larga escala, fazerem-se representar por entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Também dispensa os pequenos da obrigação de manutenção de registros das operações de tratamento de dados pessoais constante do art. 37 da LGPD – que diz que “controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem”. Nessa linha, a proposta prevê que essas empresas “podem apresentar o relatório de impacto à proteção de dados pessoais de forma simplificada quando for exigido”.
Outras medidas preveem o prazo em dobro nas relações com a ANPD, o uso de meios eletrônicos para atender os titulares de dados, ou mesmo que as pequenas empresas “podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Há, porém, exceções importantes. Em particular, que as dispensas e flexibilizações previstas não serão aplicáveis para os agentes de pequeno porte quando esses realizem “tratamento de alto risco e em larga escala para os titulares”. E o alto risco envolve:
I - dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
II – vigilância ou controle de zonas acessíveis ao público;
III – uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
IV – tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
A consulta, por 30 dias, acontece por meio da plataforma Participa + Brasil. Também está prevista uma audiência pública, a ser realizada nos dias 14 e 15 de setembro, via YouTube. Quem quiser se manifestar precisa fazer inscrição antecipada.
Fonte: Convergência Digital em 30 de agosto de 2021, por Luis Osvaldo Grossmann.