Nesta última sexta-feira, 28/01, a Autoridade Nacional de Proteção de Dados publicou o Regulamento de aplicação da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que trata sobre a aplicação da LGPD para startups, pequenas empresas e outros agentes de tratamento de pequeno porte.
A Lei Geral de Proteção de Dados brasileira, quando foi desenhada, discutida e aprovada em nosso Congresso Nacional, tinha por objetivo traçar as linhas gerais para a disciplina da proteção de dados pessoais no Brasil.
Em sua abordagem geral, a LGPD acabava por omitir-se sobre a realidade enfrentada pelos agentes de tratamento de pequeno porte – que não raro possuem muito menos disponibilidade financeira, humana e tecnológica que as grandes corporações. Daí a necessidade de um Regulamento especial para delimitar a extensão da aplicação das regras gerais da LGPD a estes agentes de tratamento.
A nova norma, publicada pela ANPD, tem justamente como objetivo flexibilizar a aplicação da Lei ao tratamento de dados pessoais realizado por microempresas, startups, pessoas jurídicas sem fins lucrativos e outros entes.
Vejamos, então, o que diz o novo Regulamento sobre os agentes de tratamento de pequeno porte.
Os agentes de tratamento de pequeno porte
De acordo com o art. 2º, inciso I, do novo Regulamento, enquadram-se como agentes de tratamento de pequeno porte:
a) As microempresas e empresas de pequeno porte – incluídas aqui as sociedades empresárias, sociedades simples, sociedades limitadas unipessoais, o microempreendedor individual e o empresário a que se refere o art. 966 do Código Civil, desde que devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas e que se enquadrem nos termos dos arts. 3º[1] e 18-A, § 1º[2], da Lei Complementar nº 123/06;
b) As startups – assim entendidas as organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracterize-se pela inovação aplicada ao modelo de negócios ou aos produtos e/ou serviços ofertados e que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182/21 (Marco Legal das Startups);
c) As demais pessoas jurídicas de direito privado (inclusive aquelas sem fins lucrativos) – cujos exemplos mais notáveis são as Associações, Fundações, Sindicatos, Partidos Políticos e Instituições Religiosas;
d) As pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais assumindo obrigações típicas de controlador e/ou operador – excetuado o tratamento realizado por pessoas naturais para fins exclusivamente particulares e não-econômicos.
O art. 3º do Regulamento deixa claro, ainda, que não poderão usufruir do tratamento jurídico diferenciado nele estabelecido os agentes de tratamento de pequeno porte que se enquadrem em uma das seguintes hipóteses:
a) realizem tratamento de alto risco para os titulares;
b) aufiram, no ano calendário anterior, receita bruta superior ao limite de R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) ou, no caso de startups, de R$ 16.000.000,00 (dezesseis milhões de reais);
c) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos em II, conforme o caso.
O tratamento de alto risco
A norma recém publicada pela ANPD inova, também, ao tratar de maneira expressa sobre o tratamento de dados de alto risco – modalidade não prevista expressamente no texto original da LGPD e cuja competência para regular fora atribuída à ANPD pela própria Lei – trazendo um rol de critérios gerais e específicos que caracterizam tais hipóteses de tratamento.
Desse modo, para que se configure uma hipótese de tratamento de alto risco é necessário que sejam atendidos, cumulativamente, ao menos um critério geral e um critério específico.
o Critérios gerais:
Dentre os critérios gerais, podemos citar o tratamento de dados pessoais em larga escala e o tratamento de dados pessoais que possa afetar, significativamente, interesses e direitos fundamentais dos titulares.
É importante destacar que, conforme o próprio Regulamento, o tratamento de dados pessoais em larga escala será caracterizado quando abranger um número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos na atividade de tratamento, bem como a duração, a frequência e a extensão geográfica do mesmo.
De modo semelhante, a Autoridade Nacional de Proteção de Dados entende que o tratamento de dados pessoais que possa afetar, significativamente, interesses e direitos fundamentais dos titulares se caracteriza quando a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como, mas não limitados à discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras e roubo de identidade.
o Critérios específicos:
Já dentre os critérios específicos o Regulamento compreende as seguintes situações: a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público[3]; c) tomada de decisões unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou d) utilização de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.
Ademais, a ANPD poderá disponibilizar novos guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do risco do tratamento que realizam.
As regras de tratamento para os agentes de pequeno porte
Antes de abordarmos a flexibilização das regras impostas aos agentes de tratamento de pequeno porte, cumpre deixar claro que, de acordo com a ANPD, caberá ao agente de tratamento de pequeno porte a comprovação, quando solicitada pela ANPD, de seu enquadramento como tal em um prazo de 15 (quinze) dias.
Ainda de acordo com a nova norma, a flexibilização das obrigações impostas aos agentes de tratamento de pequeno porte não os isenta do cumprimento de todas as demais exigências contidas na LGPD. Muito pelo contrário. O que ocorre é a criação de um conjunto de regras mais adequadas à realidade dos agentes de tratamento de menor porte – facilitando que estes cumpram os deveres impostos pela Lei Geral de Proteção de Dados.
Sendo assim, os agentes de tratamento de pequeno porte ainda estão obrigados a respeitar, dentre outras coisas: a) o uso de bases legais para o tratamento; b) respeito aos direitos dos titulares; e c) os princípios que norteiam a LGPD.
o Obrigações relacionadas aos direitos dos titulares:
Dentre as obrigações às quais os agentes de tratamento de pequeno porte estão submetidos encontram-se os deveres de disponibilizar informações sobre o tratamento de dados pessoais realizado e de atender às solicitações dos titulares, tal como previsto nos artigos 9º e 18 da LGPD.
Assim como o previsto pela LGPD, as obrigações descritas acima poderão ser atendidas por meio eletrônico ou impresso. Diferentemente da LGPD, contudo, o novo Regulamento inova ao trazer a possibilidade de atendimento das obrigações acima por “qualquer outro [meio] que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares”.
Outra inovação trazida pelo Regulamento é a possibilidade dos agentes de tratamento de pequeno porte de organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados. Possibilidade esta que abre um imenso leque de oportunidades para um relacionamento mais íntimo, transparente e estável entre titulares e agentes de tratamento.
o Registro das Atividades de Tratamento (ROPA):
Também inovando em relação ao texto da LGPD (mais precisamente ao seu artigo 37), o novo Regulamento determina que os agentes de tratamento de pequeno porte poderão cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada.
Entretanto, o modelo para essa modalidade de registro simplificada de que trata o regulamento ainda deverá ser disponibilizado pela ANPD.
Caso ainda não saiba o que é um Registro de Atividades de Tratamento (ROPA, no inglês) clique aqui e leia o nosso artigo completo sobre o tema!
o Comunicações dos Incidentes de Segurança:
Quanto à comunicação facilitada dos incidentes de segurança envolvendo o tratamento de dados pessoais, o novo Regulamento apenas informa que a Autoridade Nacional de Proteção de Dados disciplinará a matéria posteriormente – em regulamento específico sobre o tema.
o DPO:
De acordo com o novo Regulamento, os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais (DPO, no inglês). Contudo, mesmo não sendo obrigatória, a nomeação de um DPO será considerada uma política de boas práticas e governança para os fins dispostos no art. 52, §1º, IX da LGPD.
Alternativamente, o agente de tratamento que não indicar o DPO deve disponibilizar um canal de comunicação com os titulares de dados, garantindo que seja atendido o disposto no art. 41, §2º, I da LGPD.
o Segurança e boas práticas:
Em relação à segurança e boas práticas, fica definido que os agentes de tratamento de pequeno porte deverão “adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para a proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
Além disso, os agentes de tratamento de pequeno porte poderão estabelecer uma política simplificada de segurança da informação – a qual deverá levar em consideração os custos de implementação, a estrutura do agente de tratamento, bem como a escala e o volume das suas operações.
o Prazos diferenciados:
Ainda de acordo com a nova norma, os agentes de tratamento de pequeno porte poderão fornecer a declaração de que trata o inciso I do art. 19 da LGPD em um prazo de até 15 (quinze) dias, contados da data do requerimento feito pelo titualr.
Ademais, o novo Regulamento inova, também, ao permitir aos agentes de tratamento de pequeno porte o prazo em dobro para:
a) no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;
b) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;
c) no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;
d) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Por fim, é importante mencionar que a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no referido regulamento considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
[1] Para as microempresas, considera-se requisito o respeito ao intervalo de receita bruta anual auferível, que é de até R$ 360 mil; Para as empresas de pequeno porte, o requisito é o mesmo, com um intervalo de receita bruta anual limite que vai de R$ 360.000,01 até R$ 4.8 milhões. Adicionalmente, os parágrafos e incisos subsequentes do art. 3º trazem outros requisitos a serem observados.
[2] Para os microempreendedores individuais os requisitos cumulativos são: a) o respeito ao limite de receita bruta anual auferível é de 81 mil reais; b) ser optante pelo Simples Nacional; c) estar enquadrado na definição de empresário contida no art. 966 do Código Civil. Alternativamente, também se admite como microempreendedor individual o empresário individual que, respeitando as demais condições acima descritas, exerça: a) atividades de industrialização, comercialização e prestação de serviços no âmbito rural; b) atividade de comercialização e processamento de produtos de natureza extrativista; c) quaisquer outras atividades autorizadas pelo CGSN de acordo com o §4º-B do art. 18-A da LCP 123/06.
[3] De acordo com o Regulamento, zonas acessíveis ao público são “espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.”