Migalhas de Peso

Afinal, o que diz a resolução que regulamenta a aplicação da LGPD para startups?

É importante esclarecer, desde o princípio, que essa pode não ser a versão final da Resolução, que ainda pode sofrer alterações até a sanção da versão final.

10/9/2021

(Imagem: Arte Migalhas)

Nesta segunda-feira, dia 30 de agosto, a ANPD abriu para Consulta Pública a minuta de resolução que regulamenta a aplicação da LGPD para startups, microempresas e empresas de pequeno porte. Assim, esclarecemos abaixo alguns pontos de mudança. É importante esclarecer, desde o princípio, que essa pode não ser a versão final da Resolução, que ainda pode sofrer alterações até a sanção da versão final. 

As novas disposições se aplicam a microempresas e empresas de pequeno porte, aos MEIs (segundo as definições já conhecidas pelo mercado) e às Startups (conforme definição do Marco Legal das Startups, cuja vigência se iniciou nos últimos dias). Também se incluem os Pessoas Jurídicas sem fins lucrativos e zonas acessíveis ao público (como estações de ônibus, aeroportos, bibliotecas públicas e centros comerciais). A resolução chamou estes atores, conjuntamente, de ‘Agentes de Tratamento de Pequeno Porte’.

A Resolução faz ressalva expressa que suas previsões não se aplicam aos casos em que estes Agentes realizem tratamento de dados de alto risco e em larga escala e já trouxe as primeiras definições a respeito. Seriam consideradas tratamento de alto risco atividades que envolverem (1) o tratamento de dados sensíveis, (2) a vigilância ou controle de zonas acessíveis ao público, (3) o uso de tecnologias emergentes, quando puderem causar danos aos titulares, e (4) o tratamento automatizado de dados pessoais que afetem os interesses dos titulares, como profiling ou análises sobre personalidade ou comportamento. De qualquer modo, ficou textualmente prevista a necessidade de maiores orientações sobre o que seria considerado tratamento de alto risco ou em larga escala, portanto esperamos maiores diretrizes da ANPD sobre o tema. 

A Resolução dispensou os Agentes de Pequeno Porte da nomeação de um DPO. Entretanto, considerando seu papel de canal de comunicação com a ANPD e os titulares de dados, ficou mantida a obrigação de que estes Agentes disponibilizem um canal de comunicação com o titular de dados, o qual, segundo as melhores práticas em proteção de dados (não se trata de uma obrigação legal, portanto), seria separado do SAC. 

O maior impacto neste sentido foi a dispensa do cumprimento do direito à portabilidade de dados. Sem prejuízo, a resolução também admite que, ao receber pedido do titular de dados, o Agente de Pequeno Porte possa optar entre anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Ainda, se até então o titular poderia exigir declaração completa que indicasse, dentre outros itens, a origem dos dados e os critérios utilizados (art. 19, II), a nova resolução também isenta os Agentes de Pequeno Porte de fornecer essa declaração. 

Caso aprovada, a Resolução também isenta os Agentes de Pequeno Porte da obrigação de manter Registros das Operações de Tratamento de Dados, o que não impede que este registro seja feito de forma voluntária, segundo modelos que serão fornecidos pela própria Autoridade Nacional. Atualmente, estes modelos ainda não estão disponibilizados no site da ANPD, porém, se aprovada, espera-se poder acessá-los o quanto antes.

Por sua vez, o Relatório de Impacto também sofreu alterações, mas somente quanto ao formato: em vez do relatório comum previsto pela LGPD, a Resolução também dispôs que será regulamentada pela Autoridade Nacional uma versão simplificada a ser seguida pelos Agentes de Pequeno Porte. 

Pela minuta da Resolução, serão contados em dobro os prazos de: (1) atendimento às solicitações de direitos dos titulares; (2) comunicação de incidentes de segurança à Autoridade Nacional; e (3) apresentação de documentos ou informações solicitados pela Autoridade ou por outros Agentes de Tratamento (não necessariamente de pequeno porte). Importante relembrar que, apesar de duplicados, alguns dos prazos ainda aguardam regulamentação da Autoridade.

Renato Malafaia
Sócio do escritório Daniel Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

LGPD: Conheça as penalidades que entraram em vigor

23/8/2021
Migalhas Quentes

Advogada explica penalidades que entraram em vigor na LGPD

2/8/2021

Artigos Mais Lidos

Assinaturas eletrônicas e contratos bancários: Visão pericial para proteção jurídica

1/11/2024

Direito ao distrato em casos de atraso na obra: O que diz a lei

4/11/2024

Por um jogo mais responsável

4/11/2024

Seria o vínculo trabalhista a única forma de proteção social?

4/11/2024

Os contratos de distribuição e seus aspectos jurídicos em mercados regulados: O setor farmacêutico

4/11/2024