ANPD está longe de liberar PMEs das exigências da LGPD
Em um país conformado com a prática de leis que ‘pegam’ e que ‘não pegam’, qualquer indício de flexibilidade no rigor de legislações acaba sinalizando a possibilidade de se estar diante de uma ideia enquadrada na segunda categoria. Neste sentido, muitos podem ter recebido a abertura da consulta pública pela Autoridade Nacional de Proteção de Dados (ANPD) no início de setembro, como uma abertura de portas para que as pequenas e médias empresas possam escapar das obrigações estabelecidas na Lei Geral de Proteção de Dados (LGPD).
Mas, apesar do entusiasmo daqueles que preferem não se adaptar às melhores práticas, basta uma leitura atenta da minuta apresentada pela ANPD para constatar que não se trata de salvo-conduto para este tipo de organização continuar errando no tratamento de dados. Muito pelo contrário.
Em primeiro lugar é fundamental ressaltar que as flexibilizações propostas no texto, se aplicadas, serão válidas apenas para os chamados agentes de tratamento de pequeno porte. Esta categoria engloba, por exemplo, as microempresas, assim como startups, pessoas naturais e pessoas jurídicas sem fins lucrativos.
Além disso, o documento deixa explícito que o órgão defende a necessidade das pequenas empresas continuarem tendo que seguir todas as regras da LGPD, porém, com algumas simplificações. Isto porque, na prática, apenas duas obrigações aparecem como dispensadas no texto oferecido como proposta. Mesmo assim, nenhuma delas, caso sejam aceitas, terão muito impacto sobre o que as empresas precisam fazer para estarem de acordo com a LGPD.
Um dos exemplos desta determinação se relaciona à questão do atendimento ao titular e a portabilidade de dados. A redação da minuta deixa claro que as pequenas empresas poderão atender aos titulares de dados de forma eletrônica ou impressa. Ou seja, a ANPD não retirou a obrigação de atender os titulares de dados. O órgão apenas disse que esse atendimento pode ser feito eletronicamente ou fisicamente. O que realmente ficou dispensado foi o atendimento ao direito à portabilidade, mesmo assim, todos os outros oito direitos que estão no mesmo artigo continuam tendo que ser atendidos, fora os demais direitos que estão em todo o restante da LGPD.
Outra simplificação (e não isenção) se dá com relação à anonimização dos dados. O projeto presente na consulta pública diz que as pequenas empresas continuam tendo que anonimizar, bloquear ou eliminar dados excessivos. No entanto, o que muda é o fato de que, se o titular pedir para anonimizar, a empresa poderá, por exemplo, eliminar. Ou seja, se o titular de dados pedir um desses três direitos, a empresa poderá fazer esse que foi pedido ou os outros dois (sempre optando entre anonimizar, bloquear ou eliminar). O intuito é facilitar, na prática, que a pequena empresa adote uma dessas medidas que irá fazer com que os dados parem de ser utilizados.
Em alguns casos, aquilo que parece ser uma simplificação e benefício, pode até se voltar como problema para as pequenas empresas. É o caso da eliminação da necessidade de as PMEs manterem um registro das atividades que fazem com dados pessoais. Sim. Isso está claramente escrito na minuta. Ocorre que, como as pequenas empresas vão ter mesmo que fornecer o relatório de impacto (RIPD) quando solicitado pela ANPD, caso não tenham o registro das atividades, terão que registrar todas elas com urgência para poderem ter o RIPD. Neste caso, se a empresa não tiver noção de quais atividades faz com os dados pessoais, como vai saber quais são as de maior risco para poder fazer o RIPD?
Outra flexibilização polêmica está relacionada à figura do DPO, sigla de Data Protection Officer, que em português leva o nome de Encarregado de Dados. A minuta propõe que as pequenas empresas podem deixar de nomear um DPO, mas ao mesmo tempo, precisarão ter uma (ou mais pessoas) preparadas para realizar todas as funções que estariam sob a responsabilidade deste profissional.
Só para exemplificar: será necessário comunicar incidentes para a ANPD. A ANPD poderá pedir o relatório de impacto e alguém na empresa terá que fornecer. A ANPD poderá pedir para que a empresa mostre as medidas de segurança que adotou e isso precisará ser mostrado. A ANPD poderá pedir para mostrar códigos de conduta, procedimentos de rotina e treinamentos que foram feitos, e isso precisará ser mostrado também.
Existem muitos outros pontos a serem analisados que mostram claramente que, na prática, ao propor a consulta pública, a ANPD mostrou por meio de um ‘rascunho’, sua disposição de encontrar a razoabilidade para que o objetivo da LGPD seja cumprido inclusive pelas empresas de pequeno porte, e o titular de dados seja protegido.
Essa busca pela razoabilidade se completa com as simplificações que o órgão pretende promover para esses agentes de tratamento de pequeno porte. A conclusão possível de se chegar analisando o documento é que, não existe intenção de desobrigar as organizações menores, mas sim de procurar simplificar o cumprimento das obrigações para essas empresas. Isto parece ser muito mais um esforço para fazer com que a lei ‘pegue’ do que uma sinalização para beneficiar aqueles que torcem para que ela ‘não pegue”.
*Jéssica Cabrera é advogada e gerente de produtos da Immunize System