Por Amanda Nehme
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, recentemente, a Resolução nº 2 de 27 de janeiro de 2022 que regulamenta a aplicação da Lei Geral de Proteção de Dados (LGPD) para empresas de pequeno porte, microempresas, startups e zonas acessíveis ao público.
Como é sabido, as empresas de pequeno porte possuem maior dificuldade para implementação das regras da LGPD às suas estruturas. Dessa maneira, visando garantir o equilíbrio entre os direitos dos titulares de dados pessoais e a adaptação das empresas de pequeno porte, a Autoridade Nacional de Proteção de Dados flexibilizou algumas regras e facilitou determinados processos para assegurar, da melhor maneira possível, a aplicação da legislação de proteção de dados pessoais em tais organizações.
A nova Resolução é dirigida: (i) às microempresas e empresas de pequeno porte, dentre as quais se situam as sociedades empresárias, as sociedades simples, as sociedades limitadas unipessoais, nos termos do art. 41 da Lei nº 14.195/2021; ao empresário a que se refere o art. 966 do Código Civil, incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, dos arts. 3º e 18-A, §1º da Lei Complementar nº 123/2006; (ii) às startups que se enquadrarem aos critérios previstos no Capítulo II da Lei Complementar nº 182/2021 e; (iii) zonas acessíveis ao público, como praças, centros comerciais, vias públicas, entre outros.
É claro que existem exceções no âmbito de aplicação da Resolução para os agentes de tratamento que realizem tratamento de alto risco. Nesse contexto, a aplicação da norma encontra óbice em relação aos agentes de tratamento que se enquadrem em, pelo menos, um critério geral e um critério específico. Como critério geral são considerados de alto risco os agentes que realizam tratamento de dados pessoais em larga escala ou tratamento de dados pessoais que possa afetar significativamente os interesses e direitos fundamentais dos titulares. Já como critério específico estão os agentes que fazem uso de tecnologias emergentes ou inovadoras; realizem vigilância ou controle de zonas acessíveis ao público; tomem decisões unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou que utilizem dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Uma das regras flexibilizadas pela Resolução nº 2 que ganhou destaque foi a que torna a indicação do encarregado de dados pessoais (DPO) facultativa aos agentes de tratamento de pequeno porte. Por outro lado, se o agente de pequeno porte optar pela não indicação do encarregado ficará ele obrigado a disponibilizar um canal de comunicação com o titular dos dados pessoais para assegurar os direitos do titular previstos no art. 18 da Lei n.º 13.709/2018.
Outra inovação interessante foi a que estabeleceu prazo em dobro para o atendimento de requisições dos titulares de dados pessoais; comunicação de incidentes de segurança à ANPD e aos titulares dos dados pessoais; apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento e; fornecimento de declaração clara e completa de confirmação de existência ou de acesso a dados pessoais.
Já uma terceira medida que também ajuda os agentes de tratamento de pequeno porte é a adoção de medidas de segurança da informação de forma simplificada, inclusive com a formulação de uma política de segurança da informação simplificada, de acordo com o nível de risco à privacidade dos titulares de dados pessoais. O guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte, emitido em outubro de 2021 pela ANPD, serve de norte para a adequação às recomendações e boas práticas de prevenção e segurança emitidas pela agência de proteção de dados.
Embora a regulamentação tenha facilitado algumas regras para os agentes de tratamento de pequeno porte, tais agentes ainda devem cumprir as demais obrigações previstas na LGPD, bem como atender a outros regulamentos e previsões contratuais, além de observar os direitos dos titulares de dados pessoais. Dessa maneira, as microempresas, empresas de pequeno porte, startupse zonas acessíveis ao público não estão isentas de fiscalização por parte da Autoridade Nacional de Proteção de Dados, estando sujeitas, também, à multa administrativa por descumprimento das obrigações, disposta no art. 52 da Lei Geral de Proteção de Dados Pessoais.
Sem dúvidas, o tratamento diferenciado aos agentes de tratamento de pequeno porte deve ser bem recebido, uma vez que a própria Constituição Federal prevê tratamento especial para microempresas e empresas de pequeno porte, conforme dispõe o art. 179, visando a simplificação de suas obrigações rumo ao seu incentivo e crescimento econômico. Nada mais justo, portanto, que as obrigações estabelecidas na legislação de proteção de dados pessoais sejam aplicadas proporcionalmente ao porte de tratamento de dados pessoais realizados em tais organizações.
