A ANPD e a proposta de regulamentação da LGPD para os agentes de tratamento de pequeno porte

Em 30 de agosto de 2021 a Autoridade Nacional de Proteção de Dados (ANPD) abriu consulta pública sobre norma de aplicação da lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD) para microempresas e empresas de pequeno porte¹. 

A consulta pública foi disponibilizada na plataforma "Participa + Brasil"² por 45 dias e recebeu mais de 1.200 contribuições, contando ainda com Audiência Pública³ com mais de 130 expositores cadastrados. 

A minuta de resolução apresentada tem como objetivo regulamentar a aplicação da LGPD para microempresas e empresas de pequeno porte, bem como para iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem?startups?ou empresas de inovação, nos termos do art. 55-J, inciso XVIII da referida Lei. 

A postura da Autoridade em submeter a proposta de regulamentação ao debate e escrutínio público é louvável e deve ser celebrada, na medida em que contribui para que o texto final seja o mais técnico, democrático e plural, levando em conta dos direitos, princípios, valores e interesses envolvidos. 

Além disso, mostra-se acertada a postura de trazer orientações e procedimentos simplificados e diferenciados para determinados setores, o que, aliás, decorre de direta autorização legislativa inscrita no inciso XVIII⁴ do Art. 55-J da LGPD, gerando verdadeiro estímulo à inovação e ao desenvolvimento econômico no país. 

No entanto, da leitura da minuta apresentada, identificamos alguns pontos que, em nosso entendimento, revelam-se potencialmente violadores dos próprios fundamentos da proteção de dados pessoais inscritos na LGPD (Art. 2º), aos direitos fundamentais (Art. 5º, X - CF) e à dignidade da pessoa humana, fundamento da República previsto no Art. 1º, III da Carta Política de 1988. 

Pretendemos com o presente artigo trazer críticas aos Arts. 3º. caput e 13º, eis que diretamente relacionados pelo próprio texto. Consta desta forma na redação da proposta de regulamento através da análise da plataforma "Participa + Brasil"⁵: 

"Art. 3º. A dispensa e a flexibilização das obrigações previstas nesta resolução não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, ressalvada a hipótese prevista no art. 13, Parágrafo único". 

"Art. 13º. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD. 

Parágrafo único. O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados." 

O primeiro ponto digno de atenção consiste na adoção de dois critérios em conjunto para que não haja a dispensa e a flexibilização das obrigações previstas na resolução, qual seja, que o agente de tratamento de dados pessoais realize tratamento 1) de alto risco para os titulares e 2) este tratamento ocorra em larga escala. 

Ou seja, caso o agente de tratamento se valha de atividade de altíssimo risco aos titulares envolvidos, tal situação, por si só, não bastará para que o agente se beneficie de regras diferenciadas e simplificadas, como a indicação de um Encarregado pela Proteção de Dados Pessoais, manutenção de registro de suas operações de tratamento, Relatório de Impacto à Proteção de Dados Pessoais simplificado etc. 

• Clique aqui para conferir a íntegra do artigo.