MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Agentes de tratamento de pequeno porte: Conheça as propostas de flexibilização da LGPD para micro e pequenas empresas

Agentes de tratamento de pequeno porte: Conheça as propostas de flexibilização da LGPD para micro e pequenas empresas

Independentemente das flexibilizações para os chamados agentes de tratamento de pequeno porte, os princípios da LGPD previstos no art. 6º devem ser respeitados, bem como as hipóteses de tratamento, conforme art. 7º.

quinta-feira, 9 de setembro de 2021

Atualizado às 13:40

(Imagem: Arte Migalhas)

Uma preocupação constante de empresários é a adequação de micro e pequenas empresas à Lei Geral de Proteção de Dados (Lei 13.709/2018 - LGPD). Segundo o jornal Valor Econômico, o custo para adequação à LGPD pode variar de R$50 mil a R$ 800 mil1, o que seria inviável para esses tipos de empresa. O art. 55-J, inciso XVIII2 da LGPD já prevê procedimentos simplificados e diferenciados para as microempresas e empresas de pequeno porte e, também, para as startups ou empresas inovadoras, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD).

A agenda regulatória da ANPD3 incluiu em seu item 3 uma ação para tratar da "proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos", com previsão de início da regulamentação no 1º semestre deste ano. Nesse diapasão, a ANPD iniciou a tomada de subsídios sobre o tema em 29 de janeiro de 2021 e submeteu a minuta de resolução à consulta pública no último dia 30 de agosto4. De acordo com o despacho publicado no Diário Oficial da União, as sugestões para a resolução devem ser enviadas até o dia 29 de setembro, por meio da plataforma Participa Mais Brasil5. Após essa fase, nos dias 14 e 15 de setembro, ocorrerá uma audiência pública por meio do canal da ANPD no Youtube, em horário a ser confirmado para fechamento do texto final.

A minuta da resolução inicia definindo os conceitos de microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que foram denominados "agentes de tratamento de pequeno porte":

Art. 2º Para efeitos desta resolução são adotadas as seguintes definições:

I - microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006;

II - startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021;

III - pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;

IV - agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador; 

Embora a resolução venha para flexibilizar algumas regras, a Autoridade ressalta que o porte da empresa "não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios do art. 6º. Essa afirmação vai ao encontro do que afirmou Pinheiro (2021): "um dos objetivos da LGPD é assegurar a proteção e o livre desenvolvimento da personalidade da pessoa natural" e que isso está relacionado à garantia de titularidade de seus dados e "inviolabilidade da vida privada".

Além disso, de acordo com o previsto no art. 3º da minuta, as flexibilizações não se aplicam para agentes que fazem tratamento de alto risco e em larga escala, como dados sensíveis ou de grupos vulneráveis (como de crianças, adolescentes e idosos), dados de vigilância ou controle de zonas acessíveis ao público, uso de tecnologias emergentes que podem causar danos materiais ou morais aos titulares e tratamento automatizado que afetem os interesses dos titulares (como a definição de perfil). Para esses casos, a ANPD irá disponibilizar guias e orientações para que os agentes de tratamento de pequeno porte possam avaliar se se enquadram nesses casos.

E quais são os principais pontos dessa minuta de resolução apresentada pela ANPD, para os agentes de tratamento de pequeno porte?

(i) A resposta às requisições dos titulares em relação aos seus direitos6 (art. 18) pode ser feita por meio eletrônico ou impresso, além de serem dispensados de viabilizar a portabilidade dos dados a outro fornecedor de produto ou serviço (art. 18, inciso V) e de optar por anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou em desconformidade com a LGPD (art. 18, inciso IV);

(ii) Dispensa de fornecer declaração completa e clara, conforme art. 19, inciso II, da LGPD;

(iii) Dispensa da obrigação de manutenção de registros das operações de tratamento, prevista no art. 37 da LGPD;

(iv) Relatório de Impacto à Proteção de Dados Pessoais (RIPD) simplificado, quando exigido, a ser regulamentada em resolução específica;

(v) Possível dispensa, flexibilização ou simplificação de procedimento para comunicação de incidente de segurança, a ser regulamentada em resolução específica;

(vi) Dispensa de indicação do Encarregado pelo Tratamento de Dados Pessoais (art. 41 da LGPD), mas com a disponibilização de um canal de comunicação para uso do titular;

(vii) Adotar medidas administrativas e técnicas essenciais e necessárias em relação à segurança da informação, com base em guia orientativo que a ANPD irá disponibilizar;

(viii) Política de segurança simplificada, abordando os requisitos essenciais para o tratamento de dados pessoais, para proteção contra acesso não autorizado, destruição, perda, alteração e qualquer forma de tratamento inadequado ou ilícito, considerando o custo de implementação, estrutura, escala e volume das operações, bem como criticidade dos dados;

(ix) Prazo em dobro, para atendimento às requisições dos titulares, comunicação à ANPD e demais prazos estabelecidos pela Autoridade em normativos próprios;

Independentemente das flexibilizações para os chamados agentes de tratamento de pequeno porte, os princípios da LGPD previstos no art. 6º devem ser respeitados, bem como as hipóteses de tratamento, conforme art. 7º.

Por fim, como já dissemos, a minuta da resolução está aberta para receber sugestões por parte da sociedade, o que, indubitavelmente, irá aperfeiçoar o texto inicial.

_____________ 

1 https://valor.globo.com/publicacoes/suplementos/noticia/2020/08/21/custo-da-conformidade-pode-variar-de-r-50-mil-a-r-800-mil.ghtml

2 Art. 55-J. Compete à ANPD: 

(.) 

XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;  

https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313

4 https://www.in.gov.br/en/web/dou/-/despacho-de-27-de-agosto-de-2021-341340415

5 https://www.gov.br/participamaisbrasil/minuta-de-resolucao-para-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte-

6 https://mittechreview.com.br/lgpd-conheca-seus-direitos-como-titular-de-dados-pessoais/

_____________ 

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm. Acesso em: 25 dez. 2020.

FÉ, Ana Lúcia Moura. Custo da conformidade pode variar de R$50 mil a R$800mil. Valor Econômico. São Paulo. 21 ago. 2020. Disponível em: https://valor.globo.com/publicacoes/suplementos/noticia/2020/08/21/custo-da-conformidade-pode-variar-de-r-50-mil-a-r-800-mil.ghtml. Acesso em: 31 ago. 2021.

PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: comentários à lei n. 13.709/2018 (lgpd). 3. ed. São Paulo: Saraiva, 2021.

XAVIER, Fabio Correa. LGPD: conheça seus direitos como titular de dados pessoais. Conheça seus direitos como titular de dados pessoais. 2021. Disponível em: https://mittechreview.com.br/lgpd-conheca-seus-direitos-como-titular-de-dados-pessoais/. Acesso em: 31 ago. 2021.

Fabio Correa Xavier

Fabio Correa Xavier

Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo. Mestre em Ciência da Computação (USP). MBA em Gestão Estratégica de Negócios (IBMEC). Pós-graduado em Gestão Pública e Responsabilidade Fiscal e em Projetos de Redes.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca