Migalhas de Peso

Resolução CD/ANPD 2/22: análise baseada em risco e alcance da norma

A resolução em questão é uma diretriz para adoção de medidas operacionais pelos agentes de tratamento, mas a ANPD ainda necessita preencher algumas lacunas e emitir guias e orientações para reforçar obrigações e responsabilidades, bem como promover a necessária segurança jurídica.

28/3/2022

(Imagem: Freepik)

Seguindo diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) publicou a resolução 2, de 27 de janeiro de 2022, em que aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. O tratamento de dados pessoais, por ser um meio para se alcançar dada atividade fim, assim como a Prevenção à Lavagem de Dinheiro (PLD), necessita de uma regulamentação que se baseie no risco que cada ambiente de negócio projeta, sendo que é necessário analisar a realidade para, então, estabelecer qual o risco e qual o nível de proteção mínimo que cada pessoa jurídica deve implementar no seu ramo de atuação.

Tal forma de avaliar o risco é conhecida como Risk Based Approach (RBA) ou Análise Baseada em Risco (ABR) e já vem sendo adotada em diversos ambientes regulatórios – pela Comissão de Valores Mobiliários (CVM), pelo Banco Central do Brasil (BCB) e pela Superintendência de Seguros Privados (SUSEP) – no que tange à PLD1.

Analisando a LGPD, é possível perceber elementos do RBA, já que a lei dispõe sobre níveis distintos de proteção e tratamento de dados, bem como que a ANPD poderá tratar sobre padrões técnicos de tratamento a fim de definir os níveis mínimos de controle, segurança e sigilo2, inclusive, em relação aos agentes de tratamento de pequeno porte. Isso porque, seria simplesmente inviável que uma pessoa jurídica de pequeno porte fosse submetida ao mesmo padrão de exigência de um grande conglomerado econômico. Caso assim fosse, seria um verdadeiro “tiro no pé” do legislador, já que a chance de descumprimento da lei aumenta sobremaneira. A análise baseada em risco traz a regulação para a realidade de mercado, facilitando a aplicação da lei no dia-a-dia.

Assim, utilizando-se da ABR, a ANPD, de forma mais genérica, e o Controlador, de modo mais específico, poderão avaliar quais são os aspectos mais críticos das operações analisadas, no sentido de ponderar os riscos e os impactos negativos que a atividade pode apresentar no âmbito da proteção de dados pessoais, determinando, com isso, quais mecanismos e níveis de segurança são necessários3.

Diante disso, a resolução ANPD 2/22 apresentou os padrões mínimos e as pessoas beneficiadas por essa flexibilização da norma, quais sejam: (i) microempresas, que são aquelas que aufiram, em cada ano-calendário, receita bruta igual ou inferior a R$ 360.000,00 (trezentos e sessenta mil reais); (ii) empresas de pequeno porte, que são aquelas que aufiram, em cada ano-calendário, receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais); (iii) startups que são empresas que caracterizam-se pela inovação aplicada ao modelo de negócios ou a produtos ou serviços ofertados e tenham receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada; ; (iv) pessoas jurídicas de direito privado, inclusive sem fins lucrativos; e (v) pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais.

Porém, nem todas as pessoas citadas acima podem ser enquadradas como agente de pequeno porte para fins da Resolução em destaque, sendo que não poderão se beneficiar das flexibilizações de tal norma: (i) aquelas que auferirem receita bruta superior aos parâmetros acima descritos; ou (ii) estiverem em um grupo econômico, de fato ou de direito, cuja receita global ultrapasse os limites permitidos no enquadramento das Startups, ME ou EPP; ou (iii) que tratem dados de alto risco.

Sobre a configuração de tratamento de alto risco, a Resolução entende que assim será considerado aquele que atender a pelo menos um critério geral – (i) tratamento de dados pessoais em larga escala; ou (ii) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;  - e um critério específico – (i) uso de tecnologias emergentes ou inovadoras; (ii) vigilância ou controle de zonas acessíveis ao público; (iii) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou (iv) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Aqui cabe uma crítica, pois não há um parâmetro ou uma medição para tratamento geral de dados, razão pela qual é necessário que a ANPD defina o que seria um “tratamento de dados pessoais em larga escala”. Além disso, o que geraria dano significativo aos interesses e direitos fundamentais dos titulares? Ainda, o que seriam tecnologias emergentes ou inovadoras? Todas as respostas que a Resolução buscou fornecer parecem-nos muito amplas, o que torna de suma importância que a ANPD discrimine melhor esses requisitos em guias e orientações.

Não obstante, cumpre esclarecer um fato bastante importante, toda flexibilização deve ser entendida como exceção, de modo que o que não for abrangido pela resolução ANPD 2/22 deverá ser cumprido pelos agentes de tratamento de dados, enquanto controladores ou operadores. Essa percepção é importante, pois não basta que se atendam aos requisitos legais, mas devem ser criados mecanismos que possam, por exemplo, mitigar incidentes de vazamento de dados, já que nenhum sistema é a prova de falhas, porém um sistema bem formulado consegue prevenir consequências (e penalizações) mais severas.

Nesse sentido, para evitar sanções administrativas e/ou judiciais, importante que o agente de tratamento de pequeno porte estabeleça um bom nível de governança de dados, ou seja, defina práticas e estruturas para minimizar os riscos de vazamento de dados pessoais.

Como visto, a Resolução em questão é uma diretriz para adoção de medidas operacionais pelos agentes de tratamento, mas a ANPD ainda necessita preencher algumas lacunas e emitir guias e orientações para reforçar obrigações e responsabilidades, bem como promover a necessária segurança jurídica.

_________________

1 Resolução CVM 50/2021; Circular BCB 3.978/2020; e Circular SUSEP 612/2020.

2 Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

3 Adopting a risk-based approach | Market Research Society | Market Research Society. Disponível em: . Acesso em: 31 jan. 2022.

Paolla Ouriques Cruz
Advogada no escritório Ouriques Cruz Advocacia Empresarial.

Lucas Lacerda Esteves
Graduado em Direito pela UniCEUB. Advogado no Ouriques Cruz Advocacia Empresarial. Coautor do livro Regulador Inovador: Banco Central e a agenda de incentivo à inovação.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Atualização do Código Civil e as regras de correção monetária e juros para inadimplência

19/12/2024

5 perguntas e respostas sobre as férias coletivas

19/12/2024

A política de concessão de veículos a funcionários e a tributação previdenciária

19/12/2024

Julgamento do Tema repetitivo 1.101/STJ: Responsabilidade dos bancos na indicação do termo final dos juros remuneratórios

19/12/2024