A pesquisa (intitulada LGPD no mercado brasileito) apontou, dentre outras conclusões, que a proteção de dados para pequenas e médias empresas ainda não se tornou uma prioridade, apesar de seus representantes terem conhecimento das possíveis sanções aplicadas, no caso de descumprimento da lei. De acordo com o levantamento, 60% das pequenas empresas consultadas sequer iniciaram a implementação das adequações.
A lentidão desses empreendedores para se adaptarem à LGPD pode ser explicada por alguns fatores como a ausência de uma cultura de proteção de dados, custos financeiros e operacionais. Alguns deles ainda encaram a lei apenas como mais uma burocracia a ser cumprida para o exercício de sua atividade.
De outro lado, a variedade de golpes aplicados na internet e os diversos incidentes de vazamentos de dados têm aumentado o debate sobre sua proteção. Há, hoje, uma tendência de consumidores e outros titulares dos dados passarem a cobrar mais medidas de segurança neste sentido.
Um incentivo para as pequenas e médias empresas ajustarem-se à lei é a recente publicação pela Agência Nacional de Proteção de Dados (ANPD) de uma resolução contendo o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte.
A norma, publicada no último dia 28 de janeiro - data em que se comemora o Dia Internacional de Proteção de Dados - é destinada a agentes de tratamento de dados enquadrados legalmente como microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos e entes despersonalizados (condomínios, por exemplo).
Dentre as prerrogativas previstas estão a possibilidade de se manter um registro mais simplificado de suas operações (a lei exige um inventário de todas as operações de dados) e a flexibilização do procedimento para a comunicação de incidentes de segurança. A resolução prevê que a ANPD disponibilizará um formulário próprio para o registro e que o procedimento relativo aos incidentes será objeto de regulação futura.
Outras regras permitem a adoção de uma política simplificada de segurança da informação e prazos diferenciados para estes agentes. Eles terão, por exemplo, o dobro do prazo que é exigido de outras empresas para responderem a questionamentos apresentados pelos titulares dos dados.
Por fim, uma importante norma refere-se à dispensa da nomeação do Data Protection Officer (DPO), que é a pessoa responsável por manter a comunicação entre o agente que trata dos dados, seus titulares e a ANPD. Segundo a nova resolução, bastará a criação de um canal de comunicação com os titulares dos dados. Mas, em razão da importância do DPO, o regulamento traz um incentivo para sua indicação, ao tratá-la como política de boas práticas e governança.
Estas medidas de flexibilização não serão aplicáveis, contudo, em algumas situações. A principal delas refere-se ao tratamento de dados que ofereça alto risco para os titulares.
Para definir estes riscos, a norma estipulou critérios gerais e especiais.
Os critérios gerais referem-se ao tratamento realizado em larga escala e ao tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Os critérios especiais envolvem hipóteses de tratamento realizado com o uso de tecnologias emergentes ou inovadoras; relacionado à vigilância ou controle de zonas acessíveis ao público, feito por meio de decisões automatizadas (inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular) e relativos a dados pessoais sensíveis de crianças, adolescentes e idosos.
Para que a atividade seja considerada de alto risco o tratamento deve ser enquadrado de forma cumulativa em pelo menos um critério geral e um critério específico.
Ao que tudo indica, este será o ponto da resolução que trará maior dificuldade de compreensão pelos agentes de pequeno porte. Pensemos, por exemplo, no conceito de tecnologia emergente e inovadora ali citado. Não é raro que ela seja utilizada por pequenas startups no desenvolvimento de seu negócio. A identificação destas características no caso concreto, porém, nem sempre é tarefa simples.
Em razão disto, o próprio regulamento prevê que a ANPD poderá disponibilizar guias e orientações para o auxílio neste enquadramento.
De todo modo, a norma é bem-vinda e poderá significar um ponto de equilíbrio entre o desenvolvimento dos pequenos empreendimentos e a proteção de dados.
- O autor desta coluna é Advogado, Especialista e Mestre em Direito Empresarial
- Sugestões e dúvidas podem ser enviadas para o email lfelipe@ribeirorodrigues.adv.br