Regras da ANPD para PMEs enfraquecem a proteção de dados
A exemplo do que foi bastante apontado durante a audiência pública promovida pela Autoridade Nacional de Proteção de Dados sobre as regras especiais para as pequenas empresas e startups, sugestões formalmente encaminhadas na consulta pública reforçam o apelo para que sejam revistas certas flexibilizações.
A Data Privacy Brasil, por exemplo, elencou sete pontos que merecem maior cuidado e aprofundamento: tratamento de alto risco, obrigações de registro, relatório, encarregado de dados, segurança da informação, prazos e direitos dos titulares.
No geral, a entidade reforça que certas dispensas, como os registros de atividade de tratamento, os relatórios de impacto e mesmo a indicação de DPO podem enfraquecer a própria cultura de proteção de dados, ainda nascente no Brasil – a Lei Geral de Proteção de Dados (13.709/18) só está vigente há um ano.
“A minuta proposta pela ANPD tem um grande acerto, que é flexibilizar as obrigações da LGPD, tendo como base não só o porte econômico do agente de tratamento, mas também o risco das atividades que ele desenvolve”, declara Pedro Martins, coordenador acadêmico da Data Privacy Brasil Ensino. “Contudo, em alguns casos, ao propor a dispensa total de algumas obrigações previstas em lei, a ANPD extrapola a sua competência e pode vulnerabilizar ainda mais a posição dos titulares de dados”, acrescenta.
As sugestões são as seguintes:
1) Atividades de tratamento de alto risco
A abordagem da ANPD de considerar não só o porte econômico do agente de tratamento como também o risco aos titulares dos dados é positiva. Para a Data Privacy Brasil, o critério de larga escala não deve ser considerado cumulativo ao alto risco. Podem existir empresas pequenas que realizem atividades de alto risco. A larga escala pode ser vista como critério para alto risco, e não como um elemento separado.
2) Obrigação de registro das atividades de tratamento
A minuta prevê a dispensa completa e um sistema de registro voluntário por parte das empresas de pequeno porte. Todavia, tal desobrigação extrapola as competências previstas na LGPD. Além disso, o registro das atividades de tratamento é uma obrigação fundamental para uma adequada governança das atividades de tratamento de dados.
3) Relatório de impacto à proteção de dados pessoais
A Data Privacy Brasil defende que o relatório de impacto à proteção de dados pessoais não deve ter como parâmetro o porte da empresa, mas o risco proveniente da atividade ou do conjunto de atividades de tratamento de dados. O relatório é um componente integrado da gestão de risco que pode ser extremamente útil até para pequenas empresas.
4) Segurança da informação
A minuta prevê a possibilidade de flexibilização ou dispensa do dever de comunicação de incidente de segurança para empresas de pequeno porte. Contudo, o que incita esse dever é o risco ocasionado pelo incidente, não o porte do agente de tratamento. De toda maneira, nada impede que procedimentos simplificados sejam oferecidos aos pequenos negócios, desde que se preserve a harmonia entre a LGPD e demais normais legais, como o Marco Civil da Internet e o seu decreto regulamentador (Decreto nº 8.771). Ressalta-se que calibrar e flexibilizar o procedimento para essa comunicação não se confunde, em hipótese alguma, com uma flexibilização ou dispensa do dever de comunicar um incidente.
5) Indicação de encarregado
Embora a ANPD possa dispensar os agentes de pequeno porte de apontar um encarregado de dados (DPO), a indicação é uma boa prática, pois garante maior proteção aos direitos e às liberdades fundamentais dos titulares de dados. No entanto, para reduzir os custos gerados pela atividade, a ANPD poderia prever a possibilidade de nomeação de um mesmo encarregado por um conjunto de organizações, incluindo empresas de pequeno porte.
6) Prazos diferenciados
Quando de um incidente, a minuta prevê prazos com o dobro do tempo para agentes de pequeno porte informarem a ANPD e os titulares dos dados. Contudo, diferentemente da comunicação aos titulares, não há grandes empecilhos para comunicar o incidente à ANPD. Como procedimento simplificado, a Autoridade Nacional poderia regulamentar uma comunicação por etapas, de modo que, caso o agente não disponha de todas as informações de imediato, possa, em um primeiro momento, proceder com uma notificação simplificada. Os complementos, assim, seriam enviados posteriormente. Desse modo, o prazo em dobro para comunicar um incidente à ANPD se mostra desproporcional.
7) Direitos dos titulares
A dispensa total do cumprimento das obrigações relativas ao atendimento de determinados direitos dos titulares é uma ação que foge da competência da ANPD, além de prejudicar ainda mais os titulares. Nesse sentido, a Data Privacy Brasil recomenda que os direitos dos titulares previstos pela LGPD sejam garantidos de forma completa, sendo, contudo, aconselhável que agentes de pequeno porte possuam meios facilitados para cumprir com essa obrigação, a partir de orientações, guias e templates a serem desenvolvidos pela Autoridade Nacional.