Debate sobre a regulamentação da LGPD para agentes de tratamento de pequeno porte e a racionalização da proteção de dados

Nesta segunda-feira (30/08), a Autoridade Nacional de Proteção de Dados (ANPD) deu importante passo rumo à implementação racional da cultura de proteção de dados no País. Em observância à sua Agenda Regulatória relativa ao biênio 2021/2022, publicou Consulta Pública sobre a minuta que regulamenta a aplicação da lei 13.709 de 2018, a lei Geral de Proteção de Dados Pessoais (LGPD), para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem?startups?ou empresas de inovação.

Como muito frisado nas discussões que a antecederam, a legislação nacional de proteção de dados se propõe a ofertar diretrizes à temática, mas embora contenha um grau razoável de especificação, não é suficiente para regular as inúmeras hipóteses de tratamento de dados, pelos mais diversos agentes de tratamento, motivo pelo qual a iniciativa dessa segunda-feira é tão relevante.

A legislação deixou margem considerável para a regulamentação da matéria por normativas e portarias, cabendo ao órgão máximo de proteção de dados o papel de tornar efetivos os comandos legais, fazendo as adaptações necessárias aos problemas surgidos com a prática e a implementação em larga escala da nova mentalidade de privacidade e proteção de dados. Sem a necessária regulamentação de inúmeros temas essenciais ao bom funcionamento da dinâmica de proteção de dados, a lei é simplesmente inexequível na escala que se pretende, inviabilizando o atingimento do nível de proteção adequado.  

De antemão, sabia-se que um desses vácuos normativos a serem futuramente sanados seria a incidência da lei às micro e pequenas empresas, bem como às ditas startups. É notória a dificuldade de tais figuras se adaptarem e tantas novas exigências legais, ainda mais porque possivelmente sequer as compreendem adequadamente e que, na maior parte dos casos, não fazem sentido no ambiente de negócios em que estão envolvidas.

Entretanto, de outro lado, há o direito inafastável do titular de dados à sua privacidade e à proteção de seus dados, o qual não pode simplesmente ser renegado em virtude das adversidades operacionais que alguns players possuem para atendê-lo. A implementação da cultura de privacidade na sociedade brasileira é um imperativo a todos.

Coube, então, à ANPD fomentar a discussão e buscar soluções para problema tão evidente. Como tornar efetiva a LGPD aos "agentes de tratamento de pequeno porte" (como foram chamadas as microempresas, empresas de pequeno porte e as startups ou empresas de inovação)? Como impor mudanças tão drásticas, tão formalísticas e tão específicas a players que geralmente tocam seus negócios em bases simplificadas, de tamanho enxuto, em atividades que demandam tratamentos de dados triviais e sem incidência de riscos relevantes?

Aparentemente elementar, a resposta inevitavelmente passa pela simplificação das normas para os mencionados agentes de tratamento. A forma, para tanto, é bastante polêmica e nesse sentido afigura-se acertada a iniciativa de priorizá-la como foco de atuação da ANPD, assim como foi a convocação da sociedade civil, mediante a aludida Consulta Pública, para que se possa aprimorar o texto legal por meio de um debate plural e, ao que tudo indica, bastante qualificado.

A minuta prevê 20 artigos divididos de forma confusa em quatro títulos, o que certamente será alterado: I- Disposições Gerais; II- Do Tratamento de Dados Pessoais pelos Agentes de Tratamento de Pequeno Porte; IV- Dos Prazos Diferenciados; e V- Disposições Finais. Sim, pula do II para o IV. Relevada a disposição dos temas, o conteúdo é interessante.  

De início, o texto elenca - e define - os sujeitos afetados pela nova regulamentação: microempresas, empresas de pequeno porte e startups. Aqui, destaca-se a ausência dos condomínios que poderiam muito bem ser incluídos neste rol e possivelmente serão mencionados nas futuras contribuições.

Ponto importante e que merece maior atenção é a exceção de incidência da normativa, atribuída aos agentes de tratamento de pequeno porte "que realizem tratamento de alto risco e em larga escala". Nos comentários singulares já disponíveis para consulta na plataforma "Participa + Brasil", percebe-se que haverá divergência sobre o significado do "e", se inclusivo ou restritivo, sem mencionar os debates acerca da definição destes termos (já prevista na legislação) que surgirão da experiência trazida pelas contribuições da sociedade civil.

No restante, o texto sugerido cumpre o que se propõe e efetivamente simplifica processos. Por meio da flexibilização e mitigação de exigências procedimentais da LGPD, a normativa se preocupa em tornar mais praticável a proteção de dados aos agentes de pequeno porte, todavia, sem desprestigiar os direitos dos titulares.

Dentre os procedimentos flexibilizados estão o atendimento das solicitações dos titulares, de que trata o art. 18; o procedimento para a hipótese do art. 18, inciso IV, em caso de dados desnecessários, excessivos ou tratados em desconformidade com a lei; a forma como são disponibilizadas as informações sobre o tratamento de dados do art. 9º; a forma do relatório de impacto à proteção de dados pessoais de que tratam os artigos 10, §3º e 38; e a política de segurança da informação, prevista no artigo 46. 

Ainda, de acordo com a minuta, micro e pequenas empresa e startups ficam dispensadas de conferir a portabilidade dos dados do titular, nos termos do art. 18, inciso V; de fornecer a declaração clara e completa de que trata o art. 19, inciso II; da obrigação de manutenção de registros das operações de tratamento de dados constante no art. 37; e da obrigação de indicar o encarregado pelo tratamento de dados prevista no art. 41.

Contudo, para todas estas previsões há freios e contrapesos, havendo previsão de futuras regulamentações para tais situações, bem como de modelos simplificados a serem posteriormente formulados e fornecidos pela ANPD, de maneira que não há completa isenção de responsabilidades. A própria regulamentação de comunicação de incidentes de segurança ficou em stand by, pois eventual dispensa, flexibilização ou simplificação de procedimento será objeto de futura análise.

Verifica-se que as disposições estão em profundo alinhamento com as recentes manifestações da ANPD, nas quais reafirmou que adotará atuação preferencialmente pedagógica, contrariando o temor de que seria majoritariamente punitivista. Este perfil deverá se manter assim pelo menos até que se haja uma base segura de assimilação da cultura de proteção de dados no Brasil.   

Nesse contexto, é, acertadamente, ofertado aos agentes de tratamento de pequeno porte prazo dobrado para atendimento das solicitações dos titulares e da ANPD. Tratando-se das comunicações de incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares, a escolha definitivamente não foi tão acertada assim e espera-se que seja revista à medida que os debates amadureçam.

Ressalta-se, a minuta foi apresentada para discussão perante a sociedade civil e certamente será melhor esmiuçada nos próximos 30 dias em que ficará disponível na plataforma "Participa + Brasil", onde qualquer interessado pode apresentar suas contribuições, assim como na Audiência Pública a ser realizada nos dias 14 e 15 de setembro, na qual aqueles que se cadastrarem poderão realizar sustentações orais em prol do aprimoramento da minuta sugerida.

Entre erros e acertos, merece destaque a iniciativa pioneira da Autoridade Nacional de Proteção de Dados e também o seu compromisso com a democratização do debate, o que tem sido cada vez mais incomum em temas regulatórios, e que será capaz de capitalizar a proteção de dados no ambiente das micro e pequenas empresas e startups de maneira plural e verticalizada.

Ainda que tenha começado seu processo de maneira inversa, o Brasil dá sinais de que seguirá o bem-sucedido modelo europeu, em que a experiência empírica, sobretudo filtrada pelos trabalhos do Article 29 Working Party, norteou a assimilação da cultura de proteção de dados, de maneira a torná-la racional e executável por todos, fomentando um ambiente de segurança aos negócios e, principalmente, aos titulares de dados.