Nova regulamentação da ANPD: tudo sobre a aplicação da LGPD a agentes de pequeno porte, MEI e StartUps
No dia 30 de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou uma minuta que dispõe sobre a forma aplicação da LGPD (Lei Geral de Proteção de Dados) a micro e pequenas empresas, assim como a Startups.
A minuta da ANPD ainda alcança:
- o microempreendedor individual (MEI);
- a empresa individual de responsabilidade limitada (EIRELI); e
- as pessoas jurídicas sem fins lucrativos.
Estão abarcados, nas novas diretrizes, todos os agentes de tratamento – controlador e operador – enquadrados nos portes descritos acima.
O que diz a ANPD sobre a aplicação da LGPD a startups?
De início, a resolução descreve que as MPE’s as quais realizarem tratamento de alto risco e em larga escala para os titulares não serão contempladas com a flexibilização das obrigações na aplicação da LGPD.
Na tabela abaixo, por exemplo, mostramos alguns dados envolvidos em operações de alto risco.
| Tipo | Exemplos |
| Dados de grupos vulneráveis | Quaisquer dados pertencentes a menores de idade e idosos, além de outros vulneráveis. Ex: CPF, imagem, telefone, e-mail e dados da saúde à titularidade de uma criança. |
| Dados sensíveis | Orientação sexual, convicção política e religiosa, etnia, dados da saúde, entre outros, pertencentes a qualquer pessoa física. |
Empresas com operações de alto risco
Além disso, se enquadram em operações de alto risco, as empresas:
- De vigilância ou de controle de áreas públicas;
- Que utilizem tecnologias emergentes que possam ocasionar danos materiais ou morais;
- Que realizam tratamento automatizado que afete os interesses e decisões do titular;
Noutro sentido, o tratamento de larga escala se dá quando abrange um grande número de titulares, considerando o volume de dados, a duração, frequência e a extensão geográfica da operação realizada, a excetuar os dados de funcionários ou para fins de gestão administrativa do MPE.
Nesse viés, afirma-se que no § 4º, art. 3º que a ANPD lançará guias para facilitar o entendimento dessa modalidade de tratamento.
Flexibilização na aplicação da LGPD
O art. 5º destaca que a flexibilização – explicada a seguir – não isenta os MPE’s do cumprimento das demais normas relativas à proteção de dados pessoais e à aplicação da LGPD.
Vejamos, então:
Direitos do Titular
A primeira flexibilização trata dos Direitos do Titular, presentes no art. 18 da LGPD.
Nessa perspectiva, o que se permite, a princípio, através da minuta, para os agentes de tratamento de pequeno porte:
- O não cumprimento da portabilidade dos dados a outro fornecedor de produto ou serviço;
- Optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, quando solicitado pelo titular;
- Não apresentar a declaração que indique por completo o tratamento dos dados (art. 19, II)
Ademais, é permitido às MPE’s e às outras pessoas jurídicas supracitadas (inclusive àquelas que fazem tratamento de alto risco ou em larga escala) serem representadas por pessoas jurídicas ou físicas em negociações, mediações e conciliação de reclamações apresentadas por titulares de dados.
Por fim, destaca-se que a assessoria pode ser feita por pessoas jurídicas sem fins lucrativos.
Do Registro das Atividades de Tratamento
É dispensado o registro das operações de tratamento que constam no art. 37 da LGPD.
Novamente, é dito que a ANPD fornecerá modelos simplificados para o registro, o qual será facultativo;
Do Relatório de Impacto à Proteção de Dados Pessoais
Haverá modelo simplificado para tal atribuição dos agentes de tratamento.
Do Encarregado
Não será requisitada a indicação de um Encarregado de Dados.
De qualquer modo, deve ser disponibilizado um canal de comunicação com titular de dados.
Das flexibilizações gerais na aplicação da LGPD
Aos agentes de tratamento de pequeno porte será concedido o dobro de prazo quando:
- Houver solicitação dos titular e, consequentemente, o dever de atendimento;
- Precisa-se comunicar da ocorrência de um incidente de segurança para a ANPD. Porém, excetuam-se as situações que comprometerem a segurança nacional ou a integridade do titular;
- Necessita-se apresentar os solicitados pela Autoridade, referentes a algum normativo específico;
Da Segurança e das Boas Práticas
Nos aspectos da segurança das informações e condutas, a minuta assenta que as organizações supracitadas:
- Tomem as medidas básicas necessárias no âmbito da Segurança da Informação;
- Estabeleçam uma política básica de Segurança da Informação. Nesse aspecto, deve-se considerar os custos de implementação, a estrutura, a escala e o volume das operações do agente, assim como a sensibilidade e a criticidade dos dados tratados;
Conclusão
Enfatiza-se que as resoluções elencadas serão alvo de audiências públicas e outros tipos de consulta, para, assim, entrarem em vigência.
A título de transparência aos cidadãos, as sessões realizadas nos dias 14 e 15 de setembro de 2021 estão abertas ao público no canal do YouTube da ANPD.
Ao fim da minuta, ressalta-se que serão providenciados guias orientativos e outras normas para os agentes de tratamento de pequeno porte.
Finalmente, é ressalvado que a ANPD pode determinar o cumprimento de obrigações previamente flexibilizadas, a depender da situação. Por óbvio, assegura-se o direito ao contraditório e à ampla defesa ao agente de tratamento.
Aguarde as próximas decisões da Autoridade no nosso blog!
