Gargalos na resolução ANPD 2, de 27 de janeiro de 2022

"O propósito das leis não é proporcionar a verdade das opiniões, mas a segurança e proteção da comunidade, e da pessoa e dos bens de cada homem particular." John Locke¹.

No dia 27 de janeiro de 2022 foi publicada a Resolução ANPD 2², do Conselho Diretor da Autoridade Nacional de Proteção de Dados ("ANPD") que aprova o Regulamento de aplicação da lei 13.709, de 14 de agosto de 2018, lei Geral de Proteção de Dados Pessoais ("LGPD")³, para agentes de tratamento de pequeno porte.

O Regulamento estabelecido pela Resolução ANPD 2/22 ("Resolução 2/22") visa regulamentar a aplicação da LGPD para agentes de tratamento de pequeno porte, especificamente com base nas competências previstas no art. 55-J, inciso XVIII⁴, da referida lei⁵.

Vale ressaltar que as regras do Regulamento não são aplicáveis ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como nas demais hipóteses previstas no art. 4º da LGPD⁶.

Primeiro ponto a ser discutido, está logo no art. 2º do Regulamento, que estabelece determinadas definições a serem adotadas.

O inciso I estabelece que são "agentes de tratamento de pequeno porte" as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Contudo, "pessoas jurídicas de direito privado, inclusive sem fins lucrativos" por si só já incluiria tudo, menos startups, se observarmos o teor do nosso art. 44 do Código Civil pátrio, que determina que são pessoas jurídicas de direito privado as associações, as sociedades, as fundações, as organizações religiosas e os partidos políticos. Ora, a redundância parece ter levado à falta de tecnicidade. Melhor estaria escrito desta forma, a saber:

"Agentes de tratamento de pequeno porte" são as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, e as startups nos termos da legislação vigente, assim como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

O inciso IV, ainda do art. 2º do Regulamento, trata de "zonas acessíveis ao público", como sendo espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros. Contudo parece que tal definição legal é ampla, genérica e pode permitir muitas discussões sobre enquadramentos, o que pode mais atrapalhar do que auxiliar comandados no cumprimento da norma. Isso porque a ideia de "espaço aberto ao público", da forma indicada, estaria relacionada apenas às áreas públicas, ou inclui-se espaços privados comerciais abertos ao público? Centros comerciais seriam aqueles usuais de shopping center e malls ou incluiria mercados, padarias, lanchonetes? Ou mesmo prédios e lajes comerciais - destes o que se aplica? Às suas áreas comuns - áreas privativas estariam abarcadas? E empreendimentos híbridos, como shoppings e hotéis em mesma estrutura, ou prédios comerciais junto com torres residenciais?

Entendemos que uma redação detalhada certamente seria de difícil estruturação ou até mesmo de compreensão, mas a escrita da norma, poderia ser assim aclarada:

"zonas acessíveis ao público" são aquelas, público ou privadas, que recepcionem em quaisquer de seus espaços, o público em geral, ainda que haja controle de acesso e segurança, tais como centros comerciais (inclusos shopping centers e malls), praças e centros de recreação e esportivos, teatros, casas de shows e assemelhados, vias e passeios públicos em geral, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

O art. 3º prevê determinadas exclusões de plano para alguns agentes de tratamento usufruírem do tratamento jurídico diferenciado previsto na Resolução 2/22. Segundo a norma, não poderão se beneficiar do tratamento jurídico diferenciado os agentes de tratamento de pequeno porte que a) realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º do Regulamento; b) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da lei Complementar 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da lei Complementar 182, de 2021; ou c) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos, conforme o caso.

Pois bem, em linhas iniciais, a primeira hipótese contempla definições de alto risco muito subjetivas, exigindo um critério geral e um critério específico, dentre os indicados. Exatamente estes indicados é que seguem uma margem subjetiva.

Como critérios gerais são apontados o tratamento de dados pessoais em larga escala ou o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares. Ambos carecem de maior detalhamento e ficam totalmente à mercê tanto do controlador de dados quanto do intérprete. Qual critério de escala? Uma empresa ou mesmo um condomínio que tratem dados de mais de mil pessoas seria larga escala? Mais de cinco mil? Dez mil? Cem mil? E será que o risco desse tratamento em larga escala já não seria suficiente para justificar o enquadramento diferente sem precisar agregar outro critério?

Já para o caso dos critérios específicos, este envolve o uso de tecnologias emergentes ou inovadoras, a vigilância ou controle de zonas acessíveis ao público, a tomada de decisões unicamente com base em tratamento automatizado de dados pessoais, e a utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos. No caso de zonas acessíveis ao público, já endereçamos anteriormente a questão (mas se se um condomínio empresarial ou mesmo residencial, executa vigilância de áreas comuns de acesso ao público - enquadra no alto risco e, portanto, não poderia se beneficiar do tratamento jurídico diferenciado). Nos dois últimos também podemos entender que a questão está mais fechada do que aberta. Mas, qual seria exatamente o conceito de "uso de tecnologias emergentes ou inovadoras". Novamente a Resolução 2/2022 deixa uma ampla lacuna, por ser um conceito subjetivo e muito amplo.

A segunda hipótese cria um problema de tratamento não equitativo, pois o gap entre os valores previstos para PMEs é muito inferior ao atribuído para as startups. Observe-se que a receita bruta superior ao limite estabelecido no art. 3º, II, da lei Complementar 123, de 2006 envolveria, no caso de empresa de pequeno porte, em cada ano-calendário, receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais). Mas, no caso de startups, o art. 4º, § 1º, I, da lei Complementar 182, de 2021, determina receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada. Nos parece que a norma privilegia de forma equivocada as startups em detrimento das ME e EPPs. Não nos parece ter fundamento ou razão uma distinção de tamanha magnitude, se o objetivo é privilegiar sem distinção microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação (art. 55-J, inciso XVIII da LGPD). Frise-se que a LGPD não criou parâmetro de distinção das mesmas, logo, não nos parece razoável haver tal distinção, ainda mais sabido que é que muitas vezes o volume de investimento que startups recebem é absolutamente superior ao giro de microempresas e empresas de pequeno porte.

Importante ainda salientar que, as empresas abarcadas no Regulamento, que faturam milhões anualmente, não carecem, à primeira vista, de flexibilização para contratação do encarregado, por óbvio que o encarregado além de colaborar com o ecossistema de privacidade e proteção de dados dentro da empresa, tem um papel fundamental para fomentar a cultura de privacidade e proteção de dados e a própria legislação. Será que os titulares foram beneficiados por essa flexibilização? E para as empresas, realmente houve vantagem efetiva? Nos parece que seria mais justo e equilibrado que houvesse um recorte menor inserido no contexto de agentes de tratamento de pequeno porte, voltado apenas para empresas com recebimento menor, que não possuísse condições para arcar com esse ônus, como por exemplo, empreendedores, autônomos, etc.

A terceira, também carece, para nós, de maior exatidão, ao definir ou remeter a um conceito legal de grupo econômico. É importante refletir ou remeter a algum conceito legal já fixado de grupo (como p.ex. o conceito do §2º do art. 2º da CLT) para estabelecer o que em realidade seria pertencer a um grupo econômico de fato ou de direito. Estariam os contratos associativos inclusos, atraindo a incidência da norma? ou mesmo um caso gritante, na hipótese de redes de franquia empresarial - unidades franqueadas de uma rede de franchising, seriam consideradas um grupo? O conjunto de franqueados seria contado, eliminado o eventual benefício do tratamento jurídico diferenciado do Regulamento da Resolução 2/2022?

Outro ponto que merece destaque. Não uma crítica, mas um alerta! Observamos no cotidiano muitos alegando que os benefícios trazidos pela Resolução 2/2022 dispensariam até mesmo a necessidade de adequação da empresa e do próprio negócio à LGPD. Certamente esta não é a melhor avaliação da norma e de sua interpretação.

O art. 6º claramente estabelece que a dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento legal, ou de observarem estritamente os demais dispositivos da LGPD, inclusive no tocante à necessidade de adequação e às melhores práticas de uso de dados em relação direta às bases legais autorizadoras e aos princípios, sem prejuízo das demais disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como as relacionadas aos direitos dos titulares.

O conceito de privacy by default é a raiz da operação de tratamentos de dados atualmente e assim deve ser fielmente observado e mantido.

No art. 8º, a sensação que restou é que seria preciso maiores informações, sobre quem seriam as entidades de representação da atividade empresarial? Como seria essa representação? E no tocante a negociação, mediação e conciliação, a LGPD já havia sinalizado a simpatia por essa alternativa, ficando apenas mais evidente o incentivo da ANPD para esse formato de resolução de conflitos envolvendo os titulares.

Não vemos qualquer razão na disposição de futurologia prevista no art. 10 da Resolução 2/2022. Uma resolução impondo um comando de natureza mandatório à própria entidade que o expediu? Qual razão de fixar que a ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte. Seria necessário mesmo prever um comando de "hoje que eu posso no futuro"?

Por fim, vale lembrar que, independentemente da linha de interpretação dada às exceções e benefícios outorgados pela Resolução 2/2022, o seu art. art. 5º determina que cabe unicamente ao agente de tratamento, sempre que e quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º (em alguma das definições atraindo a hipótese de incidência) e do art. 3º (entes excluídos do benefício de tratamento jurídico diferenciado previsto no Regulamento) em até 15 (quinze) dias.

-----------------------

1 LOCKE, John. Carta sobre a Tolerância. Tradução de Adail Sobral. Petrópolis, RJ : Vozes, 2019, pág. 45

2 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 16.fev.2022

3 Lei nº 13709, de 14 de agosto de 2019. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 16.fev.2022

4 LGPD. "Art. 55-J. Compete à ANPD: (...) XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei. (...)". Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 16.fev.2022

5 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. "Art. 1º Este regulamento tem por objetivo regulamentar a aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, com base nas competências previstas no art. 55-J, inciso XVIII, da referida Lei.". Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 16.fev.2022

6 Resolução CD/ANPD nº 2, de 27 de janeiro de2022. "Art. 1º (...). Parágrafo único. Este regulamento não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como nas demais hipóteses previstas no art. 4º da LGPD.". Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 . Acesso em 16.fev.2022