A resolução nº 2 de 2022, editada pela Autoridade Nacional de Proteção de Dados (ANPD) em 27 de janeiro, define o conceito de agente de tratamento de pequeno porte para fins de aplicação da Lei Geral de Proteção de Dados (LGPD). Com a normativa, a tendência é que diminua o custo para que empresas de pequeno porte se adequem à LGPD. As exceções definidas na resolução, porém, não beneficiam startups que lidam com grandes volumes de dados e tecnologias inovadoras, conforme advogados consultados pelo JOTA.
“Um processo de adequação tem início e meio, mas não tem fim”, afirma Allan Turano, advogado no escritório JPN Advogados e coordenador do curso de Direito, Economia Criativa e Negócios Digitais da FGV Direito-Rio. “Nós fazemos mapeamento dos dados, treinamentos, identificamos erros, propomos medidas coletivas, mas a última etapa desse plano não existe”, ele completa, ressaltando a necessidade de monitoramento e reforço contínuos à cultura de proteção de dados.
Até agora, esse processo tinha o mesmo número de etapas independentemente do tamanho da empresa, o que em alguns casos poderia significar um custo proibitivo. “A resolução criou dispensas e vantagens para pequenas empresas”, afirma Turano.
“Por exemplo, a LGPD exige que a empresa nomeie um Data Protection Officer (DPO). Esse é um item que as empresas menores já não precisam mais seguir.” Outro exemplo de abrandamento diz respeito aos prazos de atendimento a clientes, que foram duplicados pela resolução.
A norma editada pela ANPD define que as obrigações previstas em lei não são aplicáveis ou são aplicáveis em grau mais brando no caso de empresas que caibam na definição de agente de tratamento de pequeno porte. “Mas há uma boa chance de startups não se enquadrarem, pela própria natureza delas”, afirma Simone Braga de Andrade, sócia do escritório Braga de Andrade Advogados, em Salvador (BA).
A conclusão parte das exceções definidas na normativa, que estabelece critérios objetivos para que microempresas e empresas de pequeno porte não se enquadrem como agentes de tratamento de dados de pequeno porte. As empresas que atenderem a ao menos dois critérios da lista abaixo, um geral e outro específico, não poderão ser consideradas agentes de pequeno porte:
- critérios gerais:
- tratamento de dados pessoais em larga escala; ou
- tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
- critérios específicos:
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de zonas acessíveis ao público;
- decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Braga de Andrade destaca que a resolução “era muito esperada pelo ecossistema de proteção de dados” e significa uma notícia positiva, “mesmo que de forma tardia”, já que a LGPD entrou em vigor com cerca de 20 itens ainda pendentes de regulamentação.
Empresas de setores como construção civil e saúde buscaram se adequar o quanto antes por lidarem com dados sensíveis de clientes e, portanto, terem exposição maior a riscos. “Em outros ramos, a gente não vê ainda a mesma preocupação”, diz Francisco Laux, advogado no Granemann Laux Advogados Associados, de Balneário Camboriú (SC), e doutor em Direito pela USP.
Para ele, “a maioria das [pequenas] empresas continuou a trabalhar da mesma forma, para ver se a lei vai pegar só para as empresas maiores ou se o Judiciário também irá fiscalizar pequenas e médias”.
Até agora, diz o advogado, o principal incentivo para pequenas e médias empresas vem de multinacionais que estabelecem a adequação à LGPD como critério mínimo de conformidade para fazer negócios. “Eu não vejo uma preocupação orgânica, eu vejo uma preocupação provocada por exigências de compliance de parceiros comerciais”, afirma Laux, dando como exemplo assistências técnicas especializadas em produtos eletrônicos.
Daqui pra frente
“Um ponto que ainda precisamos esperar para ver é sobre a passagem da resolução que manteve a obrigação de manter registro das operações de tratamento de dados pessoais”, diz a advogada Simone Braga de Andrade, ao comentar o artigo 9º da resolução, em que a ANPD afirma que “fornecerá modelo para o registro simplificado de que trata o caput”.
“Enquanto não chegar esse modelo, não estou tranquila”, ela afirma. “Vai realmente simplificar o mapeamento? Se a investida da pesquisa for no mesmo nível de profundidade, o trabalho será o mesmo.”
Para Allan Turano, de início a ANPD deve atuar mais de forma educativa do que punitiva, observando como as organizações reagirão aos incentivos já postos. “As próprias empresas já estão se antecipando e exigindo dos seus parceiros medidas de conformidade, medidas preventivas”, ele diz. “O mercado comprou a ideia e se antecipa para garantir bons padrões.”