O tema deste nosso encontro não poderia ser outro senão as importantes regras estabelecidas pela Autoridade Nacional de Proteção de Dados – ANPD no último dia 28 de janeiro. A nova Resolução n° 2/2022 da ANPD regula a Lei Geral de Proteção de Dados Pessoais – LGPD para os chamados agentes de tratamento de pequeno porte.
Estão incluídas nesta condição tanto as Startups (classificadas nos termos do Marco Legal das Startups – Lei Complementar n° 182/2021), como microempresas, empresas de pequeno porte, entidades sem fins lucrativos, entre outras.
O objetivo das novas regras é adaptar as obrigações da LGPD à realidade diferente destas entidades e assim faz bem a ANPD em propor de forma prática o equilíbrio legal proposto pela legislação.
A ideia da legislação é sim a proteção da privacidade e dos dados pessoais, mas sem que isto impeça o desenvolvimento dos negócios, sobretudo aqueles pautados na inovação e nos modelos data driven. Os fundamentos da LGPD, vistos de forma global e conjunta, deixam isto claro (art. 2°). Aliás, todos os documentos europeus que lhe serviram de base são no mesmo e óbvio sentido.
Inclusive, com os pés bem no chão, se sabe que o atendimento as obrigações da LGPD envolve investimentos financeiros, humanos e de tempo. Recursos que, a depender do estágio de maturidade do negócio, não são disponíveis as Startups que os canalizam para o desenvolvimento inovador dos produtos e soluções. Seria equilibrada uma legislação que sufocasse estas atividades impedindo o desenvolvimento em estágio inicial? Nesta linha, o Resolução n° 2 da ANPD dispensa ou adapta requisitos da LGPD para o dia a dia das Startups e já vale desde o referido dia 28 de janeiro de 2022.
As dispensas ou adaptações só não são aplicadas para as Startups que realizam tratamentos de dados de alto risco, auferiam receita bruta superior ao teto estabelecido pelo Marco Legal das Startups ou que pertençam a grupo econômico cuja receita ultrapasse tal limite.
A questão financeira é mais fácil de visualizar. Mas e o tratamento de alto risco para afastar as dispensas, o que é? A ANPD define como tratamento de alto risco aquele em que, de forma prática, se observe a soma de um critério geral e um critério específico. São critérios gerais (i) o tratamento de dados pessoais em larga escala ou (ii) o tratamento de dados que pode afetar significativamente interesses ou direitos dos titulares. São critérios específicos (i) uso de tecnologias inovadoras, (ii) a vigilância ou controle de zonas acessíveis ao público, (iii) decisões tomadas de forma exclusivamente automatizadas, e (iv) a utilização de dados pessoais sensíveis ou de dados de crianças, de adolescentes e de idosos.
Assim, por exemplo, seria um tratamento de alto risco aquele feito em larga escala e que envolva dados de crianças, ou aquele que traga riscos significativos aos titulares e que envolva um processo exclusivamente automatizado de decisão.
Claramente são conceitos mais abertos e mesmo a Resolução tendo se esforçado ainda mais para detalhá-los, ainda observamos uma margem de subjetividade. Recomenda-se, assim, um estudo dedicado sobre as iniciativas para entender se há um alto risco envolvido ou não e, com isto, tomar a decisão prática que melhor possa beneficiar o negócio e apoiar a Startup com as dispensas da Autoridade.
Dito isto, a primeira adaptação relevante é a simplificação da forma como as Startups podem fazer e manter o registro das operações de tratamento de dados pessoais. Esta é uma obrigação prevista no art. 37 da LGPD para as organizações controladoras, ou seja, aquelas que tomam as decisões essenciais sobre o tratamento de dados pessoais (quais dados são tratados, para quais finalidades e quanto tempo).
Normalmente é atendida por um documento complexo e amplo conhecido como RoPA (Record of Processing Activities), que envolve um trabalho detalhado de levantamento por todas as áreas da empresa. É uma verdadeira radiografia dos ciclos de vida dos dados pessoais nos ambientes da organização. A ANPD autoriza a simplificação deste processo, inclusive, sinalizando que fornecerá um modelo para o registro simplificado dos dados tratados.
A segunda adaptação diz respeito aos chamados incidentes de privacidade, dentre eles os cada vez mais comuns episódios de vazamento de dados ou ataques ransomware (aquelas situações que você já ouviu falar em que há a criptografia ou sequestro dos dados e sistemas, paralisando os negócios).
No caso de episódios que trazem riscos ou provocam danos relevantes, a organização tem a obrigação legal de comunicar os titulares de dados pessoais e a própria ANPD (art. 48, LGPD). O que a Autoridade propôs é que este procedimento de comunicação também será simplificado, facilitando a gestão do episódio pela Startup de acordo com seu tamanho e momento. Isto não elimina que a empresa tenha, de alguma forma, um plano de resposta e remediação a estes episódios. Lembrando que a proteção para estas situações, hoje, é um grande trunfo na captação de investimentos.
A Resolução n° 2/2022 também permite que a Startup deixe de nomear ou contratar alguém especificamente para exercer a função de Encarregado de Proteção de Dados Pessoais ou Data Protection Officer – DPO, porém reconhecer a existência de alguém na função será considerado como uma boa prática. A dispensa, de certa forma, pode trazer alívio. Porém, as melhores diretrizes do tema e a experiência prática recomendam que a existência de um profissional dedicado à coordenação do tema na empresa é uma condição para que as obrigações da LGPD (incluindo as não dispensadas pela ANPD) sejam atendidas.
Inclusive, a própria ANPD mantem a obrigação de que a Startup mantenha um canal de atendimento aos titulares de dados pessoais. Em termos práticos, essa tarefa fica muito prejudicada se a organização não conta com uma estrutura mínima para confirmação da identidade do solicitante das informações, desenvolvimento de fluxos para fornecimento da resposta, avaliação do conteúdo do que será respondido, etc. Para algumas situações, aliás, as Startups terão prazo em dobro para atendimento.
No mais, a Resolução ainda diminui exigências em relação as estruturas e rotinas de segurança da informação, como a existência de uma Política de Segurança da Informação simplificada.
Vamos acompanhar as novidades juntos?
_________________________________________
Sobre o autor: Maurício Tamer é Mentor do Merkaz e advogado de Direito Digital do Machado Meyer Advogados.