Regulamentação da LGPD para agentes de pequeno porte

Em agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) colocou em consulta pública uma proposta de regulamentação da aplicação da Lei Geral de Proteção de Dados (LGPD) a pequenas e médias empresas e startups.

Além de ser uma iniciativa importante para aqueles que se enquadram nesses perfis, a resolução será igualmente necessária para os demais que, embora mais complexos ou de porte maior, podem eventualmente contratar fornecedores de serviços ou realizar atendimento a clientes que possam ter proveito das dispensas ou flexibilizações concedidas.

Dada a relevância do assunto, e no intuito de contribuir para o aprimoramento da resolução, o Centro de Tecnologia e Sociedade da FGV Direito Rio (CTS-FGV) realizou sugestões na consulta pública promovida pela ANPD – tendo publicado nota técnica que consolida as contribuições.

Em 24 de janeiro, a autoridade aprovou o regulamento que foi resultado deste debate público, incorporando algumas das sugestões recebidas. Neste texto, procuramos destacar pontos que consideramos acertados da Resolução e apontar controvérsias que, potencialmente, merecerão atenção da autoridade no futuro.

Principais destaques do regulamento

Em primeiro lugar, é valiosa a possibilidade de organização em entidades de representação da atividade empresarial para a negociação, mediação e conciliação de reclamações apresentadas por titulares de dados. A medida, proporcionada pelo artigo 8º do regulamento, abre caminho para que atores menores, a princípio com menos capacidade de resposta isoladamente, possam contar com arranjos que equilibrem os interesses dos titulares e de controladores de dados. Tal motivação e postura alinham-se, devido a certa sinergia, com a possibilidade de elaboração de regras de boas práticas e governança que, conforme o artigo 50 da LGPD, podem ser reconhecidas e divulgadas pela ANPD.

O segundo ponto de destaque é a dispensa de indicação de um Encarregado (também conhecido como DPO, na sigla em inglês) trazida pelo artigo 11, com a ressalva de que se providencie canal de comunicação com o titular de dados. Apesar de não ser obrigatória, a nomeação de encarregado pode ser realizada e será considerada política de boas práticas e governança, o que pode mitigar eventuais sanções administrativas.

Recomendamos à autoridade, em nossa contribuição, uma postura intermediária, pois o papel do Encarregado é importante – intermediar as relações entre titular, controlador e autoridade. Resta saber, ainda, como esses canais de comunicação se estruturarão na prática. É crucial que eles sejam de fácil acesso e que desempenhem também uma função pedagógica, deixando claras suas atribuições relativas aos direitos do titular de dados.

O terceiro destaque é a possibilidade de manutenção de registro das atividades de tratamento de dados, bem como da política de segurança da informação, de forma simplificada, contemplando integralmente os elementos sugeridos em nossa nota técnica para os artigos 9, 10, 13 e 15 do regulamento. Aqui, o ponto substancial a ser observado serão os modelos que a autoridade proverá e que determinarão, no fim das contas, a extensão das obrigações dos controladores.

Um último elemento que flexibiliza as ações de controladores de pequeno e médio porte é a concessão de prazos em dobro no atendimento das solicitações dos titulares de dados pessoais e na comunicação com a ANPD e ao titular em face de incidente de segurança relevante; e, de até 15 dias, em declaração simplificada, para atendimento à requisição de confirmação de existência ou acesso aos dados pessoais, pelo titular respectivo.

Muita ansiedade sobre a portabilidade

Além destes destaques, e resgatando um dos tópicos reportados em nossa nota técnica, a retirada por completo da menção à portabilidade de dados de titulares é mais um ponto que merece atenção.

Embora o direito à portabilidade tenha sido consagrado pelo artigo 18, inciso V, da LGPD, seu conteúdo específico não foi definido na lei, e, portanto, um posicionamento pela ANPD seria bem-vindo para esclarecer seu escopo e identificar os padrões que deveriam ser seguidos para efetivá-lo.

No regulamento de proteção de dados europeu (GDPR), em particular em seu artigo 20, o conceito abrange duas obrigações: tanto o direito dos titulares de receber seus dados de forma estruturada, comumente utilizada e legível por uma máquina, quanto o de transmiti-los sem obstáculos a outro controlador (outra empresa, serviço, rede social etc.). Pode-se depreender do texto da LGPD que o legislador, fortemente inspirado no GDPR, quis incluir ambos?

Uma possível postura intermediária teria sido exigir a forma mais completa de portabilidade apenas pelos grandes controladores, e dispensar as empresas de pequeno e médio porte do ônus de ter que transferir os dados para outro controlador. Sem essa diferenciação e sem a fixação de padrões de interoperabilidade, o risco é que o direito previsto pelo artigo 18 seja implementado de uma forma inefetiva ou que, se interpretado de forma abrangente, gere custos significativos para pequenas empresas.

Repara-se que a agenda regulatória da ANPD, publicada em janeiro de 2021, não inclui a definição dos padrões de interoperabilidade conforme previsão do artigo 40 da LGPD. Este fato, aliado à postergação de definição do tema neste regulamento, gera um pouco de preocupação, pois, sem tal normativa, o direito à portabilidade dos titulares de dados permanece vazio e, substancialmente, impossível de ser implementado.

A proposta de redação inicial sobre o tema dispensava totalmente as entidades de pequeno porte das obrigações necessárias a fim de garantir o pleno gozo deste direito. Como salientamos em nossa contribuição, tal medida poderia esvaziar significativamente o exercício desse direito pelos titulares. Como alternativa, sinalizamos um caminho intermediário pelo qual a autoridade, exercendo sua função pedagógica, poderia elencar padrões de portabilidade simplificados para as entidades contempladas.

Diante da complexidade da matéria, que se relaciona ainda com questões de interoperabilidade de dados, o adiamento de uma definição a respeito do tema parece solução prudente. No entanto, esperamos que a autoridade não negligencie o tema e que, em um futuro próximo, possa estabelecer normativa visando à implementação deste tipo de mecanismo de modo a assegurar certeza jurídica e harmonização dos sistemas para a interoperabilidade de dados dos titulares.

Alto risco: uma boa acomodação

Por fim, cabe referência à conceituação de tratamento de dados de “alto risco”. Em nossa contribuição, documentamos possíveis critérios de classificação de risco aplicados em jurisdições estrangeiras, para ilustrar um cenário complexo que demanda maior reflexão e detalhamento. Como exemplo, citamos o cruzamento de distintas bases de dados, o tratamento de dados que condicione o acesso a direitos ou serviços essenciais e situações em que o próprio tratamento de dados configura a principal atividade do controlador em questão.

A ideia era estruturar um escopo suficientemente específico para que entidades de pequeno porte que tratem dados pessoais como mero subproduto de sua atividade principal pudessem se beneficiar de um regime mais adequado a sua realidade, excluindo-se desse rol aquelas situações que pudessem expor os direitos dos titulares de dados a riscos desproporcionais (seja pela sua natureza, seja pelo volume de dados tratados).

Neste ponto, a opção da autoridade foi esmiuçar o sistema de classificação de risco, dando a ele um artigo próprio no regulamento e criando um sistema de critérios gerais e específicos para seu enquadramento. O sistema não mudou totalmente os critérios do texto original, mas sua redação ganhou em consistência e clareza.

Ainda que as sugestões oferecidas, de uma classificação pautada pela natureza das atividades empreendidas, não tenham sido assimiladas, é importante destacar que a separação do critério geral de “tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares”, definido pelo artigo 4.I.b, em alínea própria é um desenvolvimento significativo, pois institui a observância de direitos fundamentais como elemento central da aplicação da norma.

Independentemente das opiniões de concordância, ou não, sobre o novo diploma, fato é que seguimos rumo a um ecossistema de tratamento de dados seguro, que sobreleva os direitos fundamentais dos indivíduos. Aguardamos ansiosos pelos próximos passos da nossa autoridade e, por óbvio, da conformação dos agentes de tratamento de dados pessoais.

Autores:
Luca Belli, Nicolo Zingales, Erica Bakonyi, Yasmin Curzi e Walter B. Gaspar