https://valor.globo.com/legislacao – 28/01/2022.
Por Gilmara Santos — São Paulo.
Indicação do DPO e prazo para atendimento aos usuários estão entre as medidas alteradas.
A Autoridade Nacional de Proteção de Dados (ANPD) flexibilizou a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para micro e pequenas empresas, startups, autônomos e associações sem fins lucrativos. O objetivo, conforme a ANPD, é facilitar a adaptação e adequação desses agentes às regras de tratamento de dados. A Resolução nº 2 entrou em vigor nesta sexta-feira (28).
Para especialistas, é positiva a desburocratização do processo de conformidade para os pequenos. “A LGPD trazia obrigações muito exigentes para esses entes que têm menos recursos para investir nas adequações, o que poderia até inviabilizar o negócio”, afirma o advogado Paulo Vidigal, do escritório Prado Vidigal Advogados.
Há o alerta de especialistas, porém, de que a norma entrou em pontos que ainda dependem de regulamentação.
A ANPD dispensou, por exemplo, a indicação de encarregado pelo tratamento de dados, o data protection officer (DPO). A nomeação do profissional, contudo, será considerada boa prática que pode atenuar eventual penalidade aplicada pela ANPD.
Além disso, previu prazos diferenciados para essas organizações no atendimento aos usuários. Se a pessoa física pedir acesso aos dados ou a exclusão deles, por exemplo, a LGPD determina que a empresa tem 15 dias para atender o requerimento. Com a regulamentação, as pequenas empresas têm prazo em dobro. Serão 30 dias para processar e responder às solicitações. “Traz ainda prazo diferenciado para comunicação de incidentes [de segurança] e a criação, pela autoridade, de um canal próprio para isso”, comenta Vidigal.
Flexibilização não beneficia empresas que realizem tratamento de alto risco — Foto: Getty Images.
Segundo a advogada Luiza Leite, advogada e CEO da Dados Legais, a aplicação das obrigações de forma diferente para pequenos e grandes agentes de tratamento é razoável. “Certos deveres impactam diretamente os agentes de tratamento de pequeno porte, ecoando em maior grau no seu planejamento orçamentário e operacional, podendo até mesmo inviabilizar o negócio”, diz. “A resolução é assertiva em fazer uma regulação proporcional à capacidade de adequação de cada agente”, complementa.
Tratamento de alto risco
O regulamento, no entanto, não beneficia empresas que realizem tratamento de alto risco. É neste ponto que está o principal questionamento da norma, segundo os advogados.
Será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico. Do lado dos critérios gerais, está o tratamento de dados pessoais em larga escala ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Na categoria específica está uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Para a advogada Marcela Mattiuzzo, do escritório VMCA, as definições para saber se há um tratamento de alto risco pode estar trazendo uma antecipação de outras regulamentações que vão definir esse critério. “É um ponto bastante criticado pelo impacto que pode causar”, comenta.
Ela avalia que uma das preocupações para atender a esses critérios está no do terceiro setor. Cita como exemplo uma organização não governamental (ONG) que atua na contabilização da evasão escolar. “Essa entidade coleta dados em larga escala e utiliza dados de crianças e adolescentes”, diz Marcela Mattiuzzo.
Essas ONGs não estariam usando dados sensíveis, mas informações para tentar entender a evasão escolar. “Como descubro se posso ou não me aproveitar da flexibilização da resolução?”, questiona a advogada.
Mesmo com as flexibilizações, ressalta Luiza Leite, os agentes de pequeno porte continuam tendo a obrigação de cumprir com os demais artigos da LGPD, sob pena de serem responsabilizados ou penalizados de acordo com a lei.