Desde a promulgação da LGPD (Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais), deu-se início a intenso debate acerca da exequibilidade da norma ante ao grau de complexidade e extensa quantidade de procedimentos de adequação que deveriam ser adotados pelos setores privado e público no país a partir de então.
Em meio a isso, havia especial preocupação com os impactos e eficácia da nova lei para as organizações de pequeno porte, já que, até recentemente, eram escassos os exemplos de tratamento de dados pessoais no Brasil que atendessem aos requisitos da legislação.
A dicotomia entre a complexa carga regulatória que se inaugurava pela LGPD e a ausência de uma cultura bem estabelecida de respeito à garantia fundamental à proteção de dados demandava adoção de solução que viabilizasse, de forma razoável e que não prejudicasse o exercício da livre iniciativa, a implementação positiva das políticas de proteção de dados nos setores econômicos e no setor público em geral.
Assim, de modo a tornar exequíveis as obrigações e procedimentos da nova lei, bem como fomentar a adoção voluntária de políticas proteção de dados por agentes de menor porte, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou, no mês de agosto do presente ano, consulta pública acerca da minuta de resolução que regulamenta e promove flexibilizações na LGPD para os agentes de tratamento de pequeno porte.
Tal medida tem fundamento no inciso XVIII do art. 55-J da LGPD, que estabelece a competência da ANPD para editar normas, orientações e procedimentos simplificados para que microempresas, empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo (autodeclaradas startups ou empresas de inovação) possam se adequar à lei, sendo marco indicativo de importantes tendências do órgão na condução das políticas de proteção de dados no Brasil.
Em síntese, a proposta promove alterações significativas em alguns pontos da LGPD para os “agentes de tratamento de pequeno porte”, assim consideradas, além das acima citadas, também as pessoas jurídicas sem fins lucrativos que realizem tratamento de dados pessoais, bem como as sociedades empresárias que possuam receita bruta máxima estabelecida no art. 4º, §1º, inciso I, da Lei Complementar nº 182, de 1º de junho de 2021, mesmo que possuam outro tipo de enquadramento societário (Marco Legal das Startups).¹
Vale destacar que a dispensa e flexibilização das obrigações previstas na minuta não se aplicam a agentes de tratamento de pequeno porte que realizem tratamento de “alto risco para os titulares e em larga escala” , ou nas hipóteses em que o tratamento envolva dados sensíveis ou de grupos vulneráveis, vigilância ou controle de zonas acessíveis ao público, uso de tecnologias emergentes que possam ocasionar danos materiais ou morais aos titulares, ou situações que envolvam tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluída a criação de perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.
Além disso, na proposta em discussão, não é considerado de larga escala o tratamento de dados de funcionários do agente de pequeno porte quando para fins exclusivos de sua própria gestão administrativa.
Dentre as alterações propostas e que possivelmente integrarão a versão final do texto, destaca-se a que dispensa a manutenção dos registros das operações de tratamentos de dados pessoais para os agentes de pequeno porte, sendo facultado a esses a realização de registro simplificado das atividades de tratamento, o que, na esteira do princípio da responsabilização inserto no inciso X do art. 6º da LGPD poderá ser considerado como circunstância favorável em caso de imposição de sanções.²
Tal ponto, ainda que objeto de divergências apontadas em audiência pública ocorrida nos dias 14 e 15 deste mês, é de grande relevância na medida que, além de reduzir significativamente a complexidade dos procedimentos de adequação, representa uma opção do órgão por priorizar aspectos pedagógicos da norma por meio da concessão de estímulos aos agentes de menor porte.
Por fim, vale destacar também demais pontos da proposta de flexibilização, como a dispensa para agentes de pequeno porte da figura do encarregado pelo tratamento de dados (art. 41 da LGPD), a opção pela apresentação de relatório simplificado de impacto quando for exigido, a possibilidade de estabelecer política simplificada de segurança da informação, dentre outros.
A proposta segue em discussão até o dia 29/09, quando se encerra o prazo para envio de contribuições no portal. A minuta da resolução poderá ser acessada na plataforma Participa Mais Brasil por meio do link: https://www.gov.br/participamaisbrasil/minuta-de-resolucao-para-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte-
Resta saber, portanto, qual será o grau de abrangência da solução adotada após o encerramento dos debates em curso, sendo certo, desde já, que a tendência de simplificação de parte das regras estabelecidas pela LGPD, especialmente para os atores econômicos de menor vulto, é medida de suma importância para se irradiar a cultura de proteção de dados no país, especialmente ao se ter em mente que a finalidade precípua da norma é, justamente, a efetivação dos direitos dos próprios titulares.
André Pinheiro Mendes, OAB/MG 197.999
[1] Art. 4º […] § 1º […] I – com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada.
[2] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: […] X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.