ANPD publica minuta de resolução sobre a aplicação da LGPD para pequenas empresas

A  Autoridade Nacional de Proteção de Dados (ANPD) publicou na última segunda-feira, dia 30 de agosto de 2021, uma minuta de resolução que regulamenta a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para microempresas, empresas de pequeno porte e startups que será submetida à Consulta Pública.

O normativo é oriundo da Tomada de Subsídios 1/2021, lançada em janeiro deste ano pela ANPD.

A consulta estará disponível na plataforma Participa + Brasil pelos próximos 30 dias.  

Já a audiência pública foi agendada para os dias 14 e 15 de setembro de 2021. 

A ANPD dá um importante passo na regulamentação da Lei Geral de Proteção de Dados. Como já discutimos em nossos artigos sobre o tema, a LGPD deixou à cargo da Autoridade Nacional a regulamentação de diversos dos seus dispositivos.

Assim, há uma expetativa considerável sobre o andamento da Agenda Regulatória para o biênio 2021-2022, aprovada pela Portaria nº 11/2021.

Especialmente em relação à regulamentação da LGPD para microempresas e empresas de pequeno porte, a expectativa é maior ainda.

Dados do Serviço de Apoio às Micro e Pequenas Empresas (Sebrae) mostram que no Brasil existem 19.228.025 empresas. Desse total, 9.810.483 são microempreendedores individuais (MEI), 6.586.497 são microempresas (ME) e 896.336 são empresas de pequeno porte (EPP).

A resolução a ser debatida e aprovada pela ANPD, portanto, vai afetar um número extremamente significativo de empresas brasileiras, cerca de 90%, veja:

 

É por isso que devemos ficar atentos às propostas da ANPD. Nesse artigo, vamos destacar os principais pontos da minuta disponibilizada pela Autoridade Nacional.

 

Definições da ANPD

 

A minuta propõe, no seu artigo 2º, a adoção de importantes definições. São elas:

 

• Microempresas e Empresas de Pequeno Porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o artigo 966 da Lei 10.406/2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do artigo 3º da Lei Complementar 123/2006;

 

• Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do artigo 4º da Lei Complementar 182/2021;

 

Destacamos aqui que a definição que traz a minuta não parece ser tão clara quando se refere às startups como “organizações empresariais ou societárias, nascentes ou em operação recente”. Ora, o que seria uma “operação recente” para fins de caracterização de uma organização empresarial ou societária como startup? É importante que este ponto seja esclarecido pela ANPD.

Leia mais sobre os tipos societários em nosso artigo sobre o tema.

 

• Pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;

 

• Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

 

É importante atentar-se para essa definição: a ANPD está criando uma nova nomenclatura, que a LGPD não trazia: a do agente de tratamento de pequeno porte. Como esclarecemos neste artigo, os agentes de tratamento são o controlador e o operador; são aqueles que realizarão as atividades com os dados pessoais do titular.

A proposta da ANPD por meio da minuta é que haja uma nova nomenclatura, especialmente para agentes de tratamento de pequeno porte, de acordo com o conceito trazido acima. Além disso, para fins da minuta de resolução, será considerado agente de pequeno porte aqueles que possuem receita bruta máxima de R$16 milhões (valor estabelecido no artigo 4º, §1º, inciso I, da Lei Complementar 182/2021).

 

• Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

 

A presença da expressão “dentre outros” nos leva a entender que há um critério exemplificativo, ou seja, pode haver outras zonas acessíveis ao público sobre as quais se refere a minuta que não foram listadas nesse conceito.

 

Exceções: “tratamento de alto risco”

 

A minuta traz hipóteses nas quais não serão aplicadas as disposições que nela constam, mesmo que estejamos diante de um agente de tratamento de pequeno porte.

As disposições não se aplicarão aos agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares.

Na mesma oportunidade, a minuta esclarece o que entende por “tratamento de alto risco”: tratamentos que envolvam:

 

1) Dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;

2) Vigilância ou controle de zonas acessíveis ao público;

3) Uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade, e;

4) Tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

 

Não há definição clara do que seriam as “tecnologias emergentes” das quais se refere o ponto 3 acima.

Além disso, o tratamento de dados será caracterizado como de “larga escala” quando abranger “número significativo de titulares”, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Não há definição clara sobre qual seria o “número significativo de titulares”.

 

Dispensa de obrigações ao agente de tratamento de pequeno porte

 

No Capítulo II da minuta de resolução, a ANPD traz as obrigações do agente de tratamento de pequeno porte, bem como dispensas ou relativizações de certas obrigações previstas na LGPD.

 

Portabilidade dos dados pessoais

 

No §1º do artigo 6º, há a dispensa da obrigação de os agentes de tratamento de pequeno porte de conferir portabilidade dos dados pessoais do titular a outro fornecedor de serviço ou produto.

A portabilidade é um direito que a LGPD conferiu aos titulares.

Uma disposição regulamentar que exclua direitos conferidos ao cidadão por meio de Lei deve ser considerada nula de pleno direito. Assim, tal previsão, caso conste da versão final da resolução a ser aprovada pela ANPD, não deve produzir efeitos legais. A questão certamente será alvo de debates.

 

Eliminação de dados

 

Além disso, o §2º do mesmo artigo 6º faculta ao agente de tratamento de pequeno porte, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

Novamente, percebe-se uma desconformidade com o previsto na LGPD; a lei não outorga ao agente de tratamento a possibilidade de escolha sobre o procedimento a ser adotado quando da solicitação do titular.

Esse ponto também certamente será alvo de debates.

 

Declaração de confirmação da existência de dados

 

Os agentes de tratamento de pequeno porte também ficam dispensados de fornecer a declaração clara e completa sobre a confirmação de existência ou o acesso a dados pessoais quando assim requisitado pelo titular.

É importante frisar que essa previsão não dispensa o agente de tratamento de pequeno porte de fornecer a informação sobre a confirmação de existência ou acesso – nem poderia, já que se tratam de direitos do titular outorgados por lei. Tal disposição apenas dispensa a produção de um documento extenso e detalhado.

 

Comunicação sobre incidente de segurança

 

O artigo 12 da minuta prevê que a ANPD poderá dispor sobre dispensa, flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da resolução específica.

Trata-se de mais uma questão que deve ser debatida com intensidade, afinal, questiona-se se faz sentido dispensar o agente de tratamento de pequeno porte de informar ao titular sobre algum incidente de segurança.

Estamos diante do cenário no qual seria possível haver algum tipo de vazamento de dados, por exemplo, e o titular não seja informado sobre isso; consequentemente, o titular não tomará as atitudes pertinentes que o permitam tentar se proteger em relação a tal vazamento (tais como as trocas de senhas, a inclusão de camadas de segurança, e outros).

Veja o nosso artigo sobre incidente de segurança.

 

Encarregado (DPO)

 

O artigo 13 da minuta traz a dispensa de indicação do encarregado de dados pessoais. Como esclarecemos em outro artigo, as atribuições do encarregado vão além de ser a ponte entre controlador/operador, titulares e ANPD. Cabe ao encarregado orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. 

Os agentes de tratamento de pequeno porte não precisarão indicar o encarregado, porém permanece a obrigação de disponibilizar um canal de comunicação com o titular de dados.

 

Política de segurança de informação

 

No que se refere às questões de segurança e boas práticas, a minuta prevê uma simplificação da política de segurança de informação para agentes de tratamento de pequeno porte. A ANPD disponibilizará guia orientativo sobre segurança da informação para os agentes de tratamento de pequeno porte.

 

Prazos de comunicação

 

O artigo 16 da minuta prevê que aos agentes de tratamento de pequeno porte será concedido prazo em dobro na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

A despeito de a mesma minuta prever que o prazo em dobro não deverá incidir quando “houver potencial comprometimento à integridade dos titulares ou à segurança nacional”, ainda assim prever prazo em dobro para a comunicação ao titular pode significar um prejuízo à sua segurança.

 

Conclusão

 

A minuta de resolução disponibilizada pela ANPD será discutida em audiências públicas; é possível, portanto, que algumas de suas disposições se modifiquem, especialmente em vista dos apontamentos feitos nesta notícia comentada.

De qualquer forma, o fato de a ANPD ter disponibilizado tal minuta certamente reflete a preocupação da Autoridade com microempresas e empresas de pequeno porte.

Observaremos atentamente as discussões e as determinações da ANPD sobre a questão.

Cadastre-se em nossa newsletter para receber em primeira mão os nossos novos conteúdos sobre a LGPD!

Você também pode nos avaliar no Google, o seu feedback é muito importante para nós!