Nesta segunda-feira, dia 30 de agosto, a ANPD abriu para Consulta Pública a minuta de resolução que regulamenta a aplicação da LGPD para startups, microempresas e empresas de pequeno porte. Assim, esclarecemos abaixo alguns pontos de mudança. É importante esclarecer, desde o princípio, que essa pode não ser a versão final da Resolução, que ainda pode sofrer alterações até a sanção da versão final.
- A quem se aplicam as novas regras?
As novas disposições se aplicam a microempresas e empresas de pequeno porte, aos MEIs (segundo as definições já conhecidas pelo mercado) e às Startups (conforme definição do Marco Legal das Startups, cuja vigência se iniciou nos últimos dias). Também se incluem os Pessoas Jurídicas sem fins lucrativos e zonas acessíveis ao público (como estações de ônibus, aeroportos, bibliotecas públicas e centros comerciais). A resolução chamou estes atores, conjuntamente, de ‘Agentes de Tratamento de Pequeno Porte’.
A Resolução faz ressalva expressa que suas previsões não se aplicam aos casos em que estes Agentes realizem tratamento de dados de alto risco e em larga escala e já trouxe as primeiras definições a respeito. Seriam consideradas tratamento de alto risco atividades que envolverem (1) o tratamento de dados sensíveis, (2) a vigilância ou controle de zonas acessíveis ao público, (3) o uso de tecnologias emergentes, quando puderem causar danos aos titulares, e (4) o tratamento automatizado de dados pessoais que afetem os interesses dos titulares, como profiling ou análises sobre personalidade ou comportamento. De qualquer modo, ficou textualmente prevista a necessidade de maiores orientações sobre o que seria considerado tratamento de alto risco ou em larga escala, portanto esperamos maiores diretrizes da ANPD sobre o tema.
- Os agentes de tratamento de pequeno porte precisam nomear um DPO?
A Resolução dispensou os Agentes de Pequeno Porte da nomeação de um DPO. Entretanto, considerando seu papel de canal de comunicação com a ANPD e os titulares de dados, ficou mantida a obrigação de que estes Agentes disponibilizem um canal de comunicação com o titular de dados, o qual, segundo as melhores práticas em proteção de dados (não se trata de uma obrigação legal, portanto), seria separado do SAC.
- Mudou alguma coisa com relação aos Direitos dos Titulares de Dados?
O maior impacto neste sentido foi a dispensa do cumprimento do direito à portabilidade de dados. Sem prejuízo, a resolução também admite que, ao receber pedido do titular de dados, o Agente de Pequeno Porte possa optar entre anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Ainda, se até então o titular poderia exigir declaração completa que indicasse, dentre outros itens, a origem dos dados e os critérios utilizados (art. 19, II), a nova resolução também isenta os Agentes de Pequeno Porte de fornecer essa declaração.
- Agora o ROPA e o Relatório de Impacto não serão necessários?
Caso aprovada, a Resolução também isenta os Agentes de Pequeno Porte da obrigação de manter Registros das Operações de Tratamento de Dados, o que não impede que este registro seja feito de forma voluntária, segundo modelos que serão fornecidos pela própria Autoridade Nacional. Atualmente, estes modelos ainda não estão disponibilizados no site da ANPD, porém, se aprovada, espera-se poder acessá-los o quanto antes.
Por sua vez, o Relatório de Impacto também sofreu alterações, mas somente quanto ao formato: em vez do relatório comum previsto pela LGPD, a Resolução também dispôs que será regulamentada pela Autoridade Nacional uma versão simplificada a ser seguida pelos Agentes de Pequeno Porte.
- É verdade que os prazos foram ampliados?
Pela minuta da Resolução, serão contados em dobro os prazos de: (1) atendimento às solicitações de direitos dos titulares; (2) comunicação de incidentes de segurança à Autoridade Nacional; e (3) apresentação de documentos ou informações solicitados pela Autoridade ou por outros Agentes de Tratamento (não necessariamente de pequeno porte). Importante relembrar que, apesar de duplicados, alguns dos prazos ainda aguardam regulamentação da Autoridade.