Enfim, nossa ANPD (Autoridade Nacional de Proteção de Dados) publicou o tão aguardado regulamento flexibilizando a aplicação da LGPD para pequenas empresas e startups. Mas o que parecia ser uma boa notícia foi, aos poucos, se transformando em uma série de dúvidas e críticas. A sensação geral é de que a ANPD não só foi econômica nas flexibilizações, como deixou em aberto pontos fundamentais que podem trazer muita insegurança jurídica, especialmente para as startups.
Por exemplo: entre os critérios que impedem as empresas de usufruírem das flexibilizações, a definição do que será considerado “tratamento de dados pessoais em larga escala” pelo regulador não está clara. “A redação ficou extremamente genérica”, comenta a advogada Patrícia Peck, integrante do Conselho Nacional de Proteção de Dados (CNPD). O mesmo vale para “uso de tecnologias emergentes ou inovadoras”. Ora, se é startup, faz uso delas. Em quais tecnologias o legislador pensou ao criar esse critério de exceção? Inteligência Artificial? Parece que sim, porque o critério seguinte menciona “decisões tomadas unicamente com base em tratamento automatizado de dados pessoais”.
Se o objetivo da ANPD era facilitar a adaptação e adequação das startups às regras de tratamento de dados, parece que o que ela conseguiu foi justamente o oposto. A maioria das startups atende a pelo menos um critério específico, e fica na dúvida se enquadra ou não nos critérios gerais de tratamento de dados pessoais em larga escala, ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares. Na dúvida, pode se autodeclarar nas regras de flexibilização e depois ser obrigada a retroceder e arcar com as consequências.
“Inclusive porque lá no artigo 16 do regulamento, a ANPD deixa claro que poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares”, ressalta o advogado Fabrício da Mota Alves, também integrante do CNPD.
“Imagina só, a empresa estava com tudo pronto para finalmente ficar em conformidade finalmente com a LGPD, não sofrer barreira econômica e de negócios, dado que grandes empresas com as quais ela se relaciona estão exigindo uma declaração de conformidade, feliz por ter prazos em dobro para cumprir certas obrigações, por poder fazer os registros de forma simplificada, dispensar o DPO, e aí é barrada no baile porque a ANPD considera que a sua operação se enquadra nos critérios impeditivos. Será que ela vai ter condições para cumprir tudo o que exige a lei?”, completa Patrícia Peck.
Na opinião dos dois conselheiros, o esperado agora é que a ANPD receba muitas consultas sobre os pontos ainda nebulosos e acabe por emitir uma nota de esclarecimento a respeito. Podia aproveitar e definir logo como será o formato do registro simplificado das atividades de tratamento e abrir o debate com a sociedade sobre a regulamentação para a comunicação de incidentes de violação de dados pessoais.
Na opinião da The Shift, a ANPD podia definir também as atribuições do CNPD. E uma delas podia ser a apreciação dos regulamentos antes de sua publicação. Certamente, muitos desses problemas seriam evitados. Por enquanto, temos uma autoridade que ouve pouco a sociedade (no sentido de considerar as sugestões que recebe) e não reconhece a legitimidade do conselho para auxiliá-la.
Medidas de flexibilização
Dentre as medidas de flexibilização adotadas, está a dispensa da obrigatoriedade de indicação do DPO (Data Protection Officer), encarregado pelo tratamento dos dados. Entretanto, as empresas que nomearem um DPO poderão ter as penalidades atenuadas caso haja o descumprimento à LGPD.
Outra medida foi o estabelecimento de prazos diferenciados para que as empresas atendam as solicitações dos clientes, como nos casos de acesso e exclusão dos dados. Atualmente, como regra geral, a LGPD prevê que as empresas têm o prazo de 15 (quinze) dias para atender uma solicitação desta natureza. Com a regulamentação, o prazo dobrou, passando para 30 (trinta) dias.
Os outros prazos dobrados foram:
- Para comunicação (à ANPD e aos titulares) de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
- Para o fornecimento de declaração clara e completa, prevista no artigo 19, II da LGPD;
- Os estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Já quanto à segurança e boas práticas, o regulamento determina que os agentes de tratamento devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento. Serão emitidos guias orientativos pela ANPD nesse sentido.
Além disso, os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, para protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, ou ilícito.
O regulamento diz ainda que os agentes de tratamento de pequeno porte (ou seja, as pequenas empresas e as startups aos quais se aplica) poderão realizar os registros de forma simplificada. Mas a ANPD ainda precisa fornecer o modelo para preenchimento.
“Acredito que esse ponto pode gerar uma boa oportunidade de negócios, com o desenvolvimento de ferramentas automatizadas que apoiem as empresas a fazerem esses registros simplificados”, diz Patrícia Peck.