Eduardo Molan Gaban
A última sexta-feira (28/01/2022) foi marcada por importantes acontecimentos. O primeiro deles foi a celebração do Dia Internacional da Proteção de Dados Pessoais. Nesta data, comemora-se o dia de 21 de janeiro de 1981, isto é, o dia em que foi firmado a Convenção 108 do Conselho da Europa para Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais.
Esse foi o primeiro tratado internacional com efeitos jurídicos vinculativos firmado entre nações a fim de proteger a privacidade e dados pessoais frente a “abusos que podem acompanhar a coleta e tratamento de dados pessoais”[1] e para regular “o fluxo transfronteiriço de dados pessoais”[2] diante dos avanços tecnológicos de processamento e automatização desses dados.
O segundo evento marcante da última sexta-feira está intimamente relacionado ao primeiro: o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 2, que aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte[3]. Assim, desde o dia 28/01/2022, passa a vigorar esse regulamento em todo o Brasil.
A aprovação deste regulamento não foi uma grande surpresa para a sociedade. Isso porque o projeto deste regulamento foi amplamente discutido e sofreu contribuições ativas da sociedade, seja por meio de Tomada de Subsídios[4], seja por meio de Consulta Pública e Audiência Pública[5]. Entretanto, isso não quer dizer que a aprovação deste regulamento não estava sendo ansiosamente aguardada pela sociedade. Trata-se de um importante documento que, inicialmente, sinaliza o entendimento e a preocupação da ANPD com a aplicação e com a adequação dos agentes de pequeno porte às regras e princípios da LGPD. E essa preocupação não é infundada, pois, conforme descreveu a própria ANPD, “durante a Tomada de Subsídios realizada por essa Autoridade” foi verificado que há uma “baixa maturidade e a falta de uma cultura de proteção de dados pessoais pelos agentes de pequeno porte que pode dificultar a adequação desses agentes aos ditames da LGPD e, eventualmente, pode inviabilizar sua existência”[6]. Os dados não dizem o contrário[7].
Assim, a fim de evitar que a LGPD se torne letra-morta e garantir o direito fundamental à proteção de dados pessoais de seu titular, a ANPD publicou o referido regulamento para estabelecer normas e procedimentos simplificados para esses agentes de tratamento de dados. Cumpre aqui, então, ressaltar as principais inovações do novo Regulamento de Agentes de Pequeno Porte.
O Regulamento já inicia respondendo a primeira e intuitiva pergunta: a quem se aplica esse regulamento? Somente aos agentes de tratamento de pequeno porte (art. 1º), que são: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador e de operador (art. 2º, inc. I).
A segunda pergunta é: a quem não se aplica o Regulamento? Basicamente, àquelas pessoas listadas no art. 4º da LGPD[8] (parágrafo único do art. 1º do Regulamento), aqueles que realizam tratamento de alto risco para os titulares[9], ressalvada a hipótese prevista no art. 8º do Regulamento, aufiram receita bruta anual superior ao limite estabelecido no Estatuto da Microempresa e da Empresa de Pequeno Porte (R$ 4.800.000,00 – quatro milhões e oitocentos mil reais) ou que pertençam a grupo econômico cuja receita ultrapasse esse limite (art. 3º).
O art. 7º do Regulamento traz as obrigações dos agentes de tratamento de pequeno porte sobre os direitos de titulares, como disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares por meio eletrônico, impresso ou qualquer outro que assegure esse direito do titular. É possível também a tais agentes de tratamento, inclusive àqueles que realizam tratamento de alto risco, organizarem-se por meio de entidades de representação para atender reclamações de titulares.
É importante destacar que, no Regulamento, não estão dispostas todas as minúcias dos procedimentos simplificados. Por exemplo, penderá de regulamentação a forma de registro simplificado das atividades de tratamento (art. 9º) e as comunicações dos incidentes de segurança para agentes de tratamento de pequeno porte (art. 10º).
O Regulamento desobriga os agentes de tratamento de pequeno porte a indicar o encarregado pelo tratamento de dados pessoais (art. 11), mas impõe a criação e manutenção de um canal de comunicação com o titular para atender os pedidos destes (art. 11, § 1º). É claro que, se houver a nomeação de um encarregado, isso será considerado fator indicativo de boas práticas e governança para fins do disposto no art. 52, § 1º, IX da LGPD (art. 11, § 2º), que trata exatamente dos critérios de dosimetria das sanções administrativas aplicadas pela ANPD por violações à LGPD.
Outro ponto que será positivamente levado em conta nos critérios de dosimetria das sanções diz respeito à adoção, pelo agente de tratamento de pequeno porte, de medidas administrativas e técnicas para proteção dos dados pessoais, bem como a adoção de política simplificada de segurança da informação (art. 12 e 13).
Ainda, o art. 14 do Regulamento dispõe que os agentes de tratamento de pequeno porte terão prazo em dobro para o cumprimento de diversas obrigações, como: (1) no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, (2) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares[10], (3) no fornecimento de declaração clara e completa e (4) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatório e registros solicitados pela ANPD a outros agentes de tratamento. Quanto aos prazos não estabelecidos neste regulamento, eles serão fixados em regulamentação específica[11].
Por fim, é importante mencionar que a ANPD resguardou um relevante poder para si, qual seja, de afastar a aplicação das obrigações dispensadas ou flexibilizadas neste regulamento aos agentes de tratamento de pequeno porte, desde que haja circunstâncias relevantes da situação, como a natureza, o volume das operações e os riscos aos titulares.
Os dispositivos deste Regulamento trazem benefícios relevantes e sensíveis para a aderência desses agentes às normativas da LGPD. Entretanto, ainda pendem algumas regulações, conforme indicado acima, que, certamente, darão melhores instrumentos para esses agentes realizarem um Compliance de dados sem incorrerem custos proibitivos, fatores esses essenciais para o desenvolvimento dos atuais negócios adequados às leis.
[1] Para acesso à íntegra da Convenção 108, vide: https://www.coe.int/en/web/conventions/full-list?module=treaty-detail&treatynum=108. Acesso em: 01 fev. 2022.
[2] Id. Ibid.
[3] Vide notícia publicada pela ANPD: https://www.gov.br/anpd/pt-br/assuntos/noticias/conselho-diretor-aprova-regulamento-de-aplicacao-da-lgpd-para-agentes-de-tratamento-de-pequeno-porte. Acesso em: 01 fev. 2022.
[4] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/ainda-na-semana-internacional-da-protecao-de-dados-anpd-inicia-tomada-de-subsidios-sobre-microempresa.
[5] Disponível em: https://www.gov.br/participamaisbrasil/minuta-de-resolucao-para-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte-.
[6] Vide trecho extraído da notícia publicada pela ANPD: https://www.gov.br/anpd/pt-br/assuntos/noticias/conselho-diretor-aprova-regulamento-de-aplicacao-da-lgpd-para-agentes-de-tratamento-de-pequeno-porte. Acesso em: 01 fev. 2022.
[7] Diversas pesquisas apontam a baixa adesão das pequenas empresas aos termos da LGPD. Vide, por exemplo: https://valor.globo.com/empresas/noticia/2021/07/12/lgpd-esta-chegando-mas-adesao-e-baixa.ghtml; https://www.lgpdbrasil.com.br/84-das-empresas-brasileiras-nao-estao-preparadas-para-a-lgpd/; https://www.sopesp.com.br/2021/07/12/lgpd-esta-chegando-mas-adesao-e-baixa/.
[8] Exemplo: pessoas naturais que realizam tratamento de dados pessoais para fins exclusivamente particulares e não econômico.
[9] Em seu art. 4º, o Regulamento elenca critérios gerais e específicos para a definição de tratamento de alto risco.
[10] Neste caso, existe uma exceção quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, de modo que o prazo aplicável será o mesmo daquele dos demais agentes de tratamento.
[11] Deve-se destacar que o Regulamento estabeleceu um prazo de até 15 (quinze) dias para os agentes de tratamento de pequeno porte fornecerem a declaração simplificada indicada no art. 19, inc. I da LGPD.