ANPD abre consulta pública sobre aplicação da LGPD a organizações de pequeno porte

Conhece gente interessada no assunto? Compartilhe clicando num botão abaixo!

Já não era sem tempo! ANPD pretende facilitar a aplicação da LGPD a organizações de pequeno porte criando regras diferenciadas de tratamento. A minuta apresentada para debate tem várias -- e boas -- surpresas, que comento numa primeira leitura. Leia mais no artigo, e veja o link para a consulta pública!

A Autoridade Nacional de Proteção de Dados (ANPD) lançou no dia 30 de agosto de 2021 uma consulta pública para a construção de uma norma de aplicação da LGPD para microempresas e empresas de pequeno porte. Essa consulta, já esperada por quem trabalha no ramo, consolida o entendimento de que organizações de tamanho desigual não podem ser tratadas da mesma forma. Além disso, pode simplificar bastante o trabalho de construção de um ecossistema digital de proteção de dados pessoais no Brasil, pois a vasta maioria das organizações brasileiras é de pequeno porte.

As anotações a seguir resultam de minha primeira leitura, que ofereço ao público para debate. Quem se interessar pelo texto completo da minuta poderá encontrá-lo no próprio website da ANPD (clique neste link externo para acessar o texto completo original). Se, ao terminar a leitura, você quiser contribuir com o debate da minuta, a ANPD também oferece um link para a participação pública (clique neste link externo para acessá-lo e deixar suas contribuições ao debate).

Tipificação das organizações de pequeno porte

Pelo texto da resolução as organizações de pequeno porte são aquelas já definidas em legislações específicas:

Art. 2º. Para efeitos desta resolução são adotadas as seguintes definições:

I - microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei no 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3o da Lei Complementar no 123, de 14 de dezembro de 2006;
II – startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1o do art. 4o da Lei Complementar no 182, de 1o de junho de 2021;
III – pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;
IV – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
V – zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Parágrafo único. Para fins desta resolução, consideram-se, ainda, agentes de tratamento de pequeno porte, os que possuem receita bruta máxima estabelecida no art. 4º, §1º, inciso I, da Lei Complementar nº 182, de 1º de junho de 2021.

Para facilitar o entendimento, o porte previsto nesse último dispositivo refere-se a organizações “com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada”.

A resolução propõe suavizar a aplicação da LGPD a essas organizações. Note-se: suavizar, não isentar. Afinal, diz a própria minuta de resolução, “a dispensa ou flexibilização das obrigações dispostas nesta resolução não isenta, em qualquer caso, os agentes de tratamento de pequeno porte do cumprimento de outras disposições legais e regulamentares relativas à proteção de dados pessoais” (art. 5º).

Além disso, não é toda organização de pequeno porte a ser dispensada de certas obrigações. A resolução prevê que “a dispensa e a flexibilização das obrigações previstas nesta resolução não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, ressalvada a hipótese prevista no art. 13, Parágrafo único”, que trata da dispensa de encarregado de proteção de dados; além disso, “A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento de obrigações dispensadas ou flexibilizadas nesta Resolução, considerando as circunstâncias relevantes da situação, tais como a natureza e o volume das operações, os riscos para os titulares e a sensibilidade e a criticidade dos dados tratados” (art. 19), por meio de decisão “motivada, assegurado o direito ao contraditório e à ampla defesa” (art. 19, parágrafo único).

Com essas definições, a ANPD como que “quebra” certa propaganda “terrorista” de certos consultores em proteção de dados que tinham justamente nessas organizações de menor porte um público preferencial. A atuação das consultorias quanto a este setor, especialmente no que diz respeito a seu marketing, precisará passar por profundas alterações, acentuando mais os aspectos positivos da adequação à LGPD que agitando a ameaça das multas do art. 52, incisos II e III, da LGPD.

Tratamento de alto risco

A minuta de resolução detalha o que é o “tratamento de alto risco”:

Art. 3º, § 1º Para fins desta resolução, será considerado tratamento de alto risco para os titulares, entre outras hipóteses, o tratamento que envolva:

I - dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
II – vigilância ou controle de zonas acessíveis ao público;
III – uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
IV – tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Todas as definições já constavam na LGPD, portanto a minuta de resolução não cria, nem inova. O que a diferencia positivamente, entretanto, é classificar explicitamente como “de alto risco” formas de tratamento de dados que não tinham essa definição tão evidente na própria LGPD.

Esse texto sintomatiza aquilo que a atual gestão da ANPD considera como “alto risco” no tratamento de dados, e mesmo em estágio embrionário é de grande relevância para quem trabalha na área, seja como encarregado de dados, seja na militância dos tribunais ao lidar com casos que envolvem tratamento de dados pessoais.

O mais importante desses sintomas está no inciso II. Por ele, a ANPD coloca como “tratamento de alto risco”, com muita razão, toda atividade de coleta biométrica em catracas, câmeras de vigilância, bancos de fotos de visitantes em portarias e tudo quanto é forma excessiva e abusiva de monitoramento e vigilância construídas pela indústria da segurança para vender a tal “sensação de segurança” ao custo da permanente sensação de big brother. Sinal de que, com um pingo de esperança, é possível que a discussão da “LGPD penal” no Congresso caminhe no mesmo sentido.

Tratamento de larga escala

Outra definição importante da minuta de resolução é a de “tratamento de larga escala”:

Art. 3º, § 2º O tratamento de dados será caracterizado como de larga escala quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

§ 3º Para fins deste artigo não será considerado tratamento de larga escala o tratamento de dados de funcionários ou para fins exclusivos de gestão administrativa do agente de tratamento de pequeno porte.

A minuta acerta ao deixar relativamente aberto o conceito de “tratamento de larga escala”, indicando apenas parâmetros de interpretação. Aquilo que num dado setor é grande volume poderá não ser no outro. Aquilo que numa dada atividade é grande duração poderá não ser em outra. O balizamento técnico é, sim, possível, mas engessaria sobremaneira a norma.

No § 3º encontro o primeiro pecadilho na minuta: a ambiguidade. É evidente, para mim, que ao falar do “tratamento de dados de funcionários” o texto da minuta refere-se aos funcionários das organizações de pequeno porte; entretanto, não se deve descartar a hipótese de o texto dessa minuta ser usado, no futuro, para justificar a flexibilização de normas de tratamento de dados de funcionários em empresas de todos os portes. Para isso existem a criatividade e a má-fé. Cabe um pouco mais de esforço na redação deste § 3º para deixar inequívoca a restrição dessa flexibilização às organizações de pequeno porte.

Dispensas, flexibilizações e simplificações

Aqui se encontra o núcleo da minuta de resolução.

Dispensas

Pela proposta da minuta de resolução apresentada pela ANPD para consulta pública, os agentes de tratamento de pequeno porte (para usar os termos da minuta) ficariam dispensados de:

O fim da obrigatoriedade da contatação de encarregado de proteção de dados por agentes de tratamento de pequeno porte, embora já previsto no art. 41, § 3º, da LGPD e esperado pelos profissionais do setor mais antenados com as boas práticas internacionais do ramo, pode ser desafiante, especialmente para aqueles que já foram contratados por organizações com o perfil definido pela resolução. Será preciso rever práticas, serviços e, especialmente, preços.

Pessoalmente, considero que a contratação de um encarregado de proteção de dados por uma organização de pequeno porte é necessária em alguns casos (p. ex., quem trabalha com e-commerce, e-mail marketing ou telemarketing) e dispensável na maioria dos demais (p. ex., pequenos negócios de bairro que usam redes sociais como principal vitrine, pequenas ONGs com quadro funcional reduzido etc.); mesmo nos casos em que considero necessária a contratação, os valores não podem ser os mesmos cobrados, digamos, de uma grande delicatessen, ou de uma corretora de seguros de porte médio.

O segundo pecadilho da minuta, que já não me parece tão pequeno assim, é a contradição entre a dispensa do encarregado de proteção de dados (art. 13, caput) e o tratamento de alto risco ou larga escala (art. 3º, caput). Diz o art. 3º:

Art. 3º A dispensa e a flexibilização das obrigações previstas nesta resolução não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, ressalvada a hipótese prevista no art. 13, Parágrafo único.

Ora, um tratamento de alto risco, ou um tratamento em larga escala, pressupõem um alto nível de cuidado com a operação, a exigir o olhar especializado de um encarregado de proteção de dados. É questão de respeito aos enormes riscos aos direitos dos titulares suscitados pela natureza da operação, que não respeitam o tamanho do agente de tratamento. Cabe aos profissionais do ramo, por exemplo, estabelecer critérios diferentes de prestação de serviço em função do porte do agente, mas nunca a dispensa total em operações do tipo. Do contrário, arrisca-se violar direitos dos titulares sem as devidas precauções.

Flexibilizações e práticas facultativas

A minuta de resolução também promete flexibilizar, ou tornar facultativas, certas obrigações, em especial a opção entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, na forma do art. 18, inciso IV, da LGPD (art. 6º, § 2º).

Apesar de tudo, a minuta de resolução apresentada pela ANPD propõe deixar para outra resolução futura detalhes sobre dispensa, flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte (art. 12). É compreensível a necessidade de avançar aos poucos na regulamentação do setor, mas, por economia, caberia um esforço extra para propor desde já a regulamentação dessa dispensa, flexibilização ou simplificação, pois não faltam experiências internacionais a indicar como tudo isso poderia funcionar. Além disso, como é a própria ANPD quem cria as resoluções, num processo bem mais simples que o processo legislativo, eventuais correções de rumo a uma normatização implementada por essa minuta de resolução, quando aprovada, poderiam ser feitas sem maiores dificuldades.

Simplificações

Apesar das flexibilizações, e do caráter facultativo de algumas práticas, há outras que a minuta de resolução continua mantendo como obrigatórias, embora permita sua simplificação:

Prazos diferenciados

A minuta de resolução apresentada pela ANPD traz ainda um ponto de enorme impacto na vida prática das organizações de pequeno porte:

Art. 16. Aos agentes de tratamento de pequeno porte será concedido prazo em dobro:

I - no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, parágrafos 3º e 5º, nos termos da resolução específica;
II – na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da resolução específica, exceto quando houver potencial comprometimento à integridade dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada resolução;
III – em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Parágrafo único. Os prazos não especificados nesta resolução para agentes de tratamento de pequeno porte serão determinados por resoluções específicas.

Nas organizações de pequeno porte, são raras raras aquelas que contam com equipe de TI dedicada. Mais raras ainda aquelas que contam com alguma ferramenta tecnológica de auxílio ao tratamento de dados (p. ex., gestão de solicitação de titulares, gestão de consentimento em websites, mapeamento e descoberta de dados, automatização de RIPD etc.).

Sob tais condições, uma organização de pequeno porte poderia facilmente ser sobrecarregada se os prazos originais da LGPD fossem mantidos. Ponto para a minuta de resolução, portanto.

Papel pedagógico da ANPD

Outro sintoma muito interessante da atuação da ANPD é o caráter orientador da atuação junto a organizações de pequeno porte, que aparece em vários momentos na minuta de resolução:

Discuti em artigo anterior de que modo esse caráter orientador da ANPD já se estava evidenciando logo no início da atuação da entidade; a minuta de resolução apenas reforça-o.

A representação das organizações de pequeno porte

Interessante inovação da minuta de resolução é a possibilidade de representação dos agentes de tratamento de pequeno porte:

Art. 9º Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizam tratamento de alto risco e em larga escala, fazerem-se representar por entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Parágrafo único. A assessoria também poderá ser prestada por pessoas jurídicas sem fins lucrativos e pessoas naturais.

Aqui reside um grande potencial para a atuação dos profissionais do ramo.

A representação por entidades setoriais (associações, federações, confederações ou sindicatos, principalmente) poderá mostrar-se falha on insuficiente, dada a baixa representatividade de tais organizações. Caberá a elas, se pretenderem assumir ainda este papel de representação, recuperar a legitimidade de seus mandatos, criando meios para aproximar-se de suas bases constitutivas e respeitar suas formas, modos e jeitos.

Entretanto, como pessoas jurídicas ou naturais podem exercer tal representação, aqui ressurge o papel de um encarregado de proteção de dados. Os mesmos profissionais e escritórios que já exercem essa atividade poderão adequar-se a essa resolução, caso adotada neste mesmo formato, para oferecer novas modalidades de serviço, com escopo e valores diferentes daqueles prestados sob a vigência do que chamarei aqui de “LGPD pura”.

Com isso, contribuirão enormemente para a construção de um ecossistema de tratamento de dados em que a privacidade e o respeito aos direitos dos titulares seja a norma fundamental.