Em 30 de agosto de 2021 a Autoridade Nacional de Proteção de Dados (ANPD) abriu consulta pública sobre norma de aplicação da lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD) para microempresas e empresas de pequeno porte1.
A consulta pública foi disponibilizada na plataforma “Participa + Brasil”2 por 45 dias e recebeu mais de 1.200 contribuições, contando ainda com Audiência Pública3 com mais de 130 expositores cadastrados.
A minuta de resolução apresentada tem como objetivo regulamentar a aplicação da LGPD para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem?startups?ou empresas de inovação, nos termos do art. 55-J, inciso XVIII da referida Lei.
A postura da Autoridade em submeter a proposta de regulamentação ao debate e escrutínio público é louvável e deve ser celebrada, na medida em que contribui para que o texto final seja o mais técnico, democrático e plural, levando em conta dos direitos, princípios, valores e interesses envolvidos.
Além disso, mostra-se acertada a postura de trazer orientações e procedimentos simplificados e diferenciados para determinados setores, o que, aliás, decorre de direta autorização legislativa inscrita no inciso XVIII4 do Art. 55-J da LGPD, gerando verdadeiro estímulo à inovação e ao desenvolvimento econômico no país.
No entanto, da leitura da minuta apresentada, identificamos alguns pontos que, em nosso entendimento, revelam-se potencialmente violadores dos próprios fundamentos da proteção de dados pessoais inscritos na LGPD (Art. 2º), aos direitos fundamentais (Art. 5º, X - CF) e à dignidade da pessoa humana, fundamento da República previsto no Art. 1º, III da Carta Política de 1988.
Pretendemos com o presente artigo trazer críticas aos Arts. 3º. caput e 13º, eis que diretamente relacionados pelo próprio texto. Consta desta forma na redação da proposta de regulamento através da análise da plataforma “Participa + Brasil”5:
“Art. 3º. A dispensa e a flexibilização das obrigações previstas nesta resolução não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, ressalvada a hipótese prevista no art. 13, Parágrafo único”.
“Art. 13º. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
Parágrafo único. O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados.”
O primeiro ponto digno de atenção consiste na adoção de dois critérios em conjunto para que não haja a dispensa e a flexibilização das obrigações previstas na resolução, qual seja, que o agente de tratamento de dados pessoais realize tratamento 1) de alto risco para os titulares e 2) este tratamento ocorra em larga escala.
Ou seja, caso o agente de tratamento se valha de atividade de altíssimo risco aos titulares envolvidos, tal situação, por si só, não bastará para que o agente se beneficie de regras diferenciadas e simplificadas, como a indicação de um Encarregado pela Proteção de Dados Pessoais, manutenção de registro de suas operações de tratamento, Relatório de Impacto à Proteção de Dados Pessoais simplificado etc.
- Clique aqui para conferir a íntegra do artigo.