A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 30 de agosto de 2021, a Consulta Pública sobre a minuta da Resolução que regulamenta a aplicação da LGPD para os chamados “agentes de pequeno porte”.

A minuta apresenta a possibilidade de adoção de procedimentos simplificados e diferenciados, facilitando a conformidade desse grupo à LGPD e contribuindo para a disseminação da cultura de proteção de dados pessoais. Essa alternativa regulatória visa trazer equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados, sem deixar de garantir os direitos dos titulares.

QUEM SÃO OS “AGENTES DE PEQUENO PORTE”?

Estes agentes poderão ter um regime diferenciado de aplicação da LGPD desde que não realizem tratamentos de alto risco e em larga escala para os titulares.

Para definição de tratamento de alto risco, a minuta apresenta um rol exemplificativo, que contém: (i) dados sensíveis ou dados de grupos vulneráveis, incluindo crianças, adolescentes e idosos; (ii) tratamento que envolva a vigilância ou controle de zonas acessíveis ao público; (iii) uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou (iv) tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

A minuta não define o que seria tratamento de dados em larga escala, mas a ANPD informa que disponibilizará guias e orientações que auxiliem os agentes de tratamento de pequeno porte a avaliar se realizam tratamento em larga escala.

10 MUDANÇAS PROPOSTAS AOS AGENTES DE PEQUENO PORTE EM RELAÇÃO À LGPD

1) Atendimento e informações por meio eletrônico ou impresso. Conforme a minuta da resolução, ficará a critério do agente de tratamento a escolha entre realizar o atendimento aos titulares por meio eletrônico ou impresso. Na LGPD, essa escolha cabe ao titular dos dados, devendo as empresas estarem preparadas para o atendimento de ambas as formas (impressa ou eletrônica). Além do atendimento às solicitações dos titulares, a disponibilização de informações sobre o tratamento dos dados pessoais realizado, como a Política de Privacidade e outros avisos sobre os dados pessoais, também poderão ser disponibilizados tanto física quanto eletronicamente, a critério do agente.

2) Dispensa da portabilidade. Diferentemente da norma geral contida na LGPD, segundo a minuta da Resolução, os agentes de pequeno porte estão dispensados de conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto.

3) Faculdade entre anonimizar, bloquear e eliminar. A redação atual faculta ao agente de tratamento de pequeno porte, optar entre anonimizar, bloquear ou eliminar os dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD.

4) Dispensa de fornecimento de declaração completa. A LGPD prevê como um dos direitos do titular a obtenção de uma declaração completa de seus dados pessoais. A resolução dispensa os agentes de pequeno porte de fornecer a declaração completa de dados pessoais, podendo fornecer uma declaração simplificada, cujo conteúdo mínimo ainda não foi definido.

5) Representação para fins de negociação, mediação e conciliação. Fica facultado aos agentes de tratamento de pequeno porte fazerem-se representar por entidades de representação da atividade empresarial, por PJs ou PFs para fins de negociação, mediação e conciliação de reclamações de titulares.

6) Dispensa de indicação de Encarregado. O encarregado, também conhecido como DPO (Data Protection Officer), é a pessoa – física ou jurídica – responsável por fazer a intermediação entre o agente de tratamento, a ANPD e os titulares. Em geral, o profissional é o ponto de contato da empresa com a Autoridade e os titulares de dados pessoais. A minuta da Resolução da ANPD prevê a dispensa de indicação do Encarregado, determinando tão somente que seja disponibilizado um canal de comunicação com o titular.

7) Dispensa do registro das atividades de tratamento. Segundo a minuta, os agentes de pequeno porte não serão obrigados a registrar as atividades de tratamento de dados pessoais.

No entanto, a existência de tais registros será considerada para fins de responsabilização da empresa e mensuração de eventual aplicação de sanções. Assim, apesar da dispensa, pela interpretação da minuta da Resolução, entende-se que é recomendado que os agentes de pequeno porte mantenham o registro, ainda que simplificado.

8) Relatório de Impacto à Proteção de Dados (RIPD). A minuta dispõe que os agentes de tratamento de pequeno porte podem apresentar relatório de impacto à proteção de dados pessoais de forma simplificada. O conteúdo deste documento simplificado será disponibilizado em norma própria.

9) Comunicação de Incidentes de Segurança. A ANPD não dispensa os agentes de tratamento de pequeno porte de enviarem comunicações de incidentes, porém, informa que poderá dispor sobre eventual dispensa, flexibilização ou procedimento simplificado de comunicação de incidente de segurança no futuro.

10) Prazos em dobro. A proposta de resolução informa que os agentes de pequeno porte terão prazo em dobro no atendimento das solicitações dos titulares de dados. No entanto, é importante destacar que a LGPD não determina os prazos para atendimento das referidas solicitações. Desta forma, para o momento, este tema ainda é incerto. O prazo em dobro também se aplica nos casos de comunicação de incidentes de segurança à ANPD e ao titular. A regra geral é de 2 dias úteis, assim, os agentes de pequeno porte têm o prazo de 4 dias úteis para informar a ANPD e o titular sobre eventual incidente. Esta regra apenas não será cabível quando houver potencial comprometimento à integridade dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender ao prazo regular de 2 dias úteis.

COMO A MATÉRIA É REGULADA NO ÂMBITO DA GDPR NA EUROPA?

 Diferente do que vemos na minuta da ANPD, a regulamentação diferenciada no contexto do regulamento europeu de proteção de dados (GDPR – General Data Protection Regulation) é bem menos ampla. As únicas diferenças para os agentes de pequeno porte são:

(i) Isenção da necessidade de manter registros das atividades de tratamento para as empresas com menos de 250 funcionários que não estejam envolvidas em atividades de tratamento de alto risco, não realizam tratamento de dados com frequência, ou não realizam o background check e o tratamento de dados pessoais sensíveis; e

(ii) Dispensa da indicação de um Encarregado de Proteção de Dados (DPO) para empresas que não realizem as atividades de tratamento de dados de alto risco, ou que não estejam envolvidas em monitoramentos frequentes e sistemáticos de titulares de dados em larga escala.

Ademais, não há outras isenções específicas para agentes de pequeno porte na GDPR, de forma que empresas com menos de 250 funcionários ainda precisam cumprir a maioria dos requisitos da legislação.

Nota-se, ainda, que o critério para definição dos agentes com regulamentação diferenciada é baseado principalmente na quantidade de funcionários das empresas, enquanto a ANPD traz critérios mais específicos para esta regulamentação no contexto da LGPD.

PRÓXIMOS PASSOS

A Resolução ainda não está em vigor. Uma audiência pública para discutir o tema está marcada para os próximos dias 14 e 15 de setembro e a sociedade poderá apresentar sugestões de melhoria até o dia 29 de setembro.

Clique aqui para acessar a minuta da Resolução na íntegra.