No dia 28 de janeiro de 2022 foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) um novo regulamento da Lei Geral de Proteção de Dados (LGPD), que se refere aos agentes de tratamento de pequeno porte, como microempresas, pequenas empresas, startups, MEIs, organizações sem fins lucrativos e outros tipos, como condomínios. O objetivo dessa nova regulamentação é o de simplificar as exigências de elaboração e manutenção de registro das operações de tratamento de dados pessoais.
Sabe-se que a quantidade de empresas que estão adotando a LGPD ainda é pequena e que muitas, infelizmente, ou não consideram como de essencial importância aplicar a LGPD ou enfrentam dificuldades em fazer tais alterações, já que uma mudança nesse sentido implica em modificar a própria cultura. Isso acontece principalmente nesse momento pós-pandemia, com tantas questões a se preocupar. Entretanto, lidar com a LGPD deverá entrar na lista de prioridades da empresa.
Ainda que a LGPD tenha entrado em vigor recentemente e pouco tenha sido visto da sua aplicação, um dos motivos pelo qual é importante que a LGPD entre na lista de prioridades de qualquer pessoa jurídica é sua crescente pressão popular, principalmente em relação aos vários escândalos de vazamentos de dados. Um estudo realizado pelo Massachusetts Institute of Technology (MIT) indicou que os vazamentos de dados no Brasil aumentaram 493%! Já vazaram dados de quase toda a população brasileira e, diante disso, outro estudo realizado pela Veritas Technologies, mostrou que 62% das pessoas afirmam que não consumiria o produto de uma empresa que não protege seus dados[1].
A questão não é se haverá um próximo vazamento de dados, mas quando ele ocorrerá. Com a sociedade cada vez mais dependente de tecnologia, a tendência é que ataques cibernéticos sejam o novo foco de criminosos, e a pandemia serviu para escancarar essa possibilidade.
Os nossos dados estão expostos na internet, e com eles fora da web não conseguimos ter acesso a quase nada, nem mesmo realizar uma transação bancária ou realizar uma tarefa simples e necessária, como tirar um documento. Atualmente, com tantos trabalhos sendo realizados via home office, a falta de proteção se torna ainda maior.
No último artigo foram abordadas as medidas que podem ser tomadas para a proteção de um ataque cibernético e como lidar com um caso aconteça. Neste artigo, tratarei sobre como a empresa deverá lidar com esses dados juridicamente, de acordo com a lei.
Quem não se enquadra na nova regulamentação?
Os agentes de tratamento que tenham uma receita bruta superior a R$ 4,8 milhões por ano não poderão se beneficiar, de acordo com o art. 3º, II, da Lei Complementar nº 123, de 2006. No caso das startups, o limite é de R$ 16 milhões por ano, segundo o art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021. Além disso, o agente deverá acumular um critério geral e um critério específico, dentre os citados abaixo, para não se enquadrar na nova resolução[2].
Critérios gerais:
- Se o agente lidar com tratamento em larga escala, ou seja, se ele lidar com um alto volume de dados, ou por um longo período, ou com frequência ou através de uma grande extensão geográfica;
- Se o tratamento com o qual o agente lida afetar os interesses e os direitos fundamentais dos titulares.
Critérios específicos:
- Se o agente fizer uso de tecnologias emergentes ou inovadoras;
- Se ele lidar com a vigilância ou com o controle de zonas acessíveis ao público;
- Se ele realizar uma tomada de decisões automatizada;
- Se ele realizar o tratamento de dados sensíveis, como dados de crianças, de adolescentes e de idosos.
Resumindo: os agentes de tratamento que se enquadram em algum desses critérios já não poderão se beneficiar da nova resolução.
Conheça os serviços de E-Discovery e Segurança Digital da Bi2 Partners. Se preferir, entre em contato direto: [email protected] | +55 11 96476-9418.
E quais são os benefícios da nova resolução?
Não precisar nomear um DPO
Para começar, os agentes de tratamento não precisarão nomear um Data Protection Officer (DPO), que é a pessoa responsável por manter a comunicação entre o agente que lida com os dados, os titulares em questão e a ANPD. Nesse caso, será necessária apenas a criação de um canal de comunicação com os titulares dos dados. No entanto, o ideal é que o agente de tratamento indique um DPO e trate essa indicação como política de boas práticas e governança.
Prazo dobrado
Os agentes terão um prazo dobrado para atender as demandas dos titulares sobre o tratamento dos dados pessoais e para comunicar a ocorrência de um incidente de segurança que venha a ocorrer, desde que não haja risco de comprometimento com a integridade dos titulares ou com a segurança nacional.
Registro simplificado
Tanto a aceitação do registro de operações de tratamento de dados pessoais quanto à possibilidade de se estabelecer políticas em relação à segurança da informação poderão ser feitas de forma simplificada.
Benefício extra
Está prevista na resolução a disponibilização, por parte da ANPD, de um formulário próprio para o registro de como deverá ser o procedimento em relação a incidentes. Porém, esse formulário será regulado futuramente.
Problemas encontrados
Um dos problemas encontrados na nova resolução é o de como definir quais dados são de alto risco e quais não são? A partir de qual quantidade é considerado um volume alto? Quanto tempo define um longo período? Essas são perguntas que a nova resolução não responde.
Conclusão
Como se pode perceber, aplicar a nova resolução é uma tarefa que envolve o compliance da empresa. Ainda que sejam startups, empresas de pequeno porte ou microempresas, o alinhamento com as leis que regulam as pessoas jurídicas brasileiras é essencial para um bom funcionamento delas. Sem um programa de compliance, adaptar-se a mais essa resolução pode ser mais difícil. Por enquanto, ainda estamos em fase de transição, nos recuperando da pandemia, mas chegará um momento em que uma empresa, não importa de qual tamanho, não poderá continuar sem estar totalmente adequada à Lei Geral de Proteção de Dados. Portanto, quanto antes a empresa se aprofundar no assunto e aplicar as regras em seu dia a dia, melhor. Para isso, a Bi2 Partners está aqui para ajudar.
Conheça os serviços de E-Discovery e Segurança Digital da Bi2 Partners. Se preferir, entre em contato direto: [email protected] | +55 11 96476-9418.
[1] Disponível em https://www.terra.com.br/noticias/empresas-encontram-dificuldades-com-a-privacidade-de-dados,6e562e2de206fd136f9974e73f0b6fc9p34f8cfi.html. Acesso em 14 de fevereiro de 2022.
[2] Disponível em https://in.gov.br/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em 10 de fevereiro de 2022.
Referências
BRASIL. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Imprensa Nacional, 28 de janeiro de 2022. Edição 20, Seção 1, Página 6.
PAIVA, Letícia. Nova resolução da ANPD estabelece patamar mínimo de exigências da LGPD. JOTA, São Paulo, 28 de janeiro de 2022. Disponível em: https://www.jota.info/jotinhas/anpd-estabelece-patamar-minimo-de-exigencias-da-lgpd-28012022. Acesso em 11 de fevereiro de 2022.
PORTO, Douglas. Pequenas empresas terão obrigações flexibilizadas na LGPD. CNN Brasil, São Paulo, 29 de janeiro de 2022. Disponível em: https://www.cnnbrasil.com.br/business/pequenas-empresas-terao-obrigacoes-flexibilizadas-na-lgpd. Acesso em 11 de fevereiro de 2022.
RODRIGUES, Luiz Felipe Ribeiro. Resolução flexibiliza aplicação da LGPD para pequenas empresas. Estado de Minas, 10 de fevereiro de 2022. Disponível em: https://www.em.com.br/app/colunistas/direito-e-inovacao/2022/02/10/noticia-direito-e-inovacao,1343780/resolucao-flexibiliza-aplicacao-da-lgpd-para-pequenas-empresas.shtml. Acesso em 11 de fevereiro de 2022.
SATO, Luiza. Os benefícios da nova resolução da ANPD para micro e pequenas empresas. tiinside, 28 de janeiro de 2022. Disponível em: https://tiinside.com.br/28/01/2022/os-beneficios-da-nova-resolucao-da-anpd-para-micro-e-pequenas-empresas. Acesso em 11 de fevereiro de 2022.
TERRA. Empresas encontram dificuldades com a privacidade de dados. Terra, 11 de fevereiro de 2022. Disponível em: https://www.terra.com.br/noticias/empresas-encontram-dificuldades-com-a-privacidade-de-dados,6e562e2de206fd136f9974e73f0b6fc9p34f8cfi.html. Acesso em 14 de fevereiro de 2022.
