A flexibilização da LGPD para microempresas, empresas de pequeno porte e startups

Caio Henrique de Moraes Cintra

No dia 30 de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou minuta que disciplina a aplicação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados) às microempresas, empresas de pequeno porte e startups, medida prestigia a aplicação do inciso XVIII do artigo 55-J da LGPD, que atribui à ANPD a competência da edição de normas, orientações e procedimentos simplificados e diferenciados para referidas empresas.

 As recomendações são oriundas da Tomada de Subsídios 1/2021, ocorrida em janeiro do mesmo ano e que possibilitou participação de diversos agentes privados na discussão sobre pontos importantes como a conceituação de risco aos titulares e tratamento de dados em larga escala. 

A proposta é proporcionar aos agentes de tratamento de pequeno porte a adoção de procedimentos de menor oneração econômica e procedimental, permitindo que estas empresas se mantenham competitivas em seus modelos de negócio.

Inicialmente, em seu artigo 3º, a minuta exclui a aplicação dos processos simplificados para agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala. Entende-se como tratamento de alto risco aqueles que envolva tratamento de dados de dados sensíveis ou de grupos de vulneráveis, dados de vigilância ou controle de zonas acessíveis ao público, uso de tecnologias emergentes que possam ocasionar danos materiais ou morais aos titulares, bem como o tratamento automatizado de dados pessoais que afetem os interesses dos titulares.

O tratamento de larga escala, por sua vez, é conceituado como aquele que abrange um número significativo de titulares, devendo ainda ser considerado o volume de dados envolvidos, a duração, a frequência e a extensão geográfica envolvida na operação. 

Nos termos da minuta, os agentes de tratamento de pequeno porte ficam dispensados do fornecimento da portabilidade de dados do titular a outro fornecedor de serviços ou produtos, situação prevista pelo artigo 18, inciso V da Lei Geral de Proteção de Dados Pessoais. 

Faculta-se aos agentes de tratamento de pequeno porte a opção entre anonimização, bloqueio ou eliminação de dados que sejam desnecessários, excessivos ou tratados em desconformidade com a LGPD, além de serem dispensados do fornecimento de declaração clara e completa nos moldes do artigo 19, inciso II da lei.

Outro ponto relevante é a possibilidade de que os agentes de pequeno porte, mesmo aqueles que tratam dados de alto risco ou grandes volumes de dados, possam ser representados por entidades representativas da atividade empresarial, com o objetivo de facilitar negociações e mediações entre titulares e empresas.

Entretanto, o ponto de maior impacto da minuta emitida pela ANPD consiste no registro de atividades de tratamento, sendo os agentes de pequeno porte dispensados da obrigação de manter registros de suas operações que envolvam dados pessoais, ação que impacta diretamente na implantação do programa de governança de dados. Entretanto, a Autoridade Nacional disponibilizará modelos simplificados para que tais empresas possam utilizar, caso julguem pertinente a realização do registro.

Ademais, concede-se aos agentes de tratamento de pequeno porte a possibilidade de apresentação de versão simplificada do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), desobriga a nomeação de um encarregado de dados e ventila a possibilidade de flexibilização ou dispensa de comunicação de incidentes de segurança. 

Em referência à segurança e às boas práticas, a Autoridade Nacional de Proteção de Dados proporciona aos agentes de tratamento considerados de pequeno porte, facilitando a simplificação na adoção de medidas técnicas e de boas práticas, desde que se tome por base requisitos mínimos de segurança da informação referentes aos dados pessoais. O capítulo ainda apresenta um forte viés educativo, com a promessa de elaboração de uma série de cartilhas educativas acerca do tema.

No mesmo sentido, faculta-se aos agentes de tratamento a elaboração de políticas de segurança de natureza simplificada, desde que observadas a estrutura, custos de implementação e natureza dos dados tratados pelos agentes.

Por fim, ficam estabelecidos prazos em dobro para o atendimento das solicitações dos titulares, comunicação de incidentes de segurança que possam acarretar danos ao titular, bem como aos demais prazos estabelecidos pela Autoridade Nacional de Proteção de Dados para os demais agentes de proteção de dados. 

Referida minuta representa um importante avanço para microempresas e empresas de pequeno porte sob o ponto de vista financeiro, possibilitando a diminuição dos custos para implementação e manutenção da governança e, consequentemente, permite que mais empresas estabeleçam um padrão aceitável de segurança da informação. 

Entretanto, se faz necessário levar em conta o quanto tais medidas impactarão de forma negativa à proteção de dados dos titulares, de forma que não se privilegie riscos com o único objetivo de fomentar o desenvolvimento de um modelo de negócios.