Vale relembrar que o primeiro ciclo de monitoramento e fiscalização pela Autoridade Nacional de Proteção de Dados (ANPD) começou em 1º de janeiro de 2022 com o intuito de avaliar a conformidade dos agentes; entendimento dos riscos regulatórios; adoção de ações compatíveis com o risco; prevenção de práticas irregulares e fomento da cultura de proteção de dados.
Como retrospectiva: em 29 de outubro de 2021, a ANPD publicou a Resolução CD/ANPD nº1/2021 estabelecendo o procedimento de fiscalização e o processo administrativo sancionador. A atividade de fiscalização da ANPD tem como finalidade orientar, prevenir e reprimir as infrações à Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) em vigor. A referida resolução já foi comentada em artigo recente e estabeleceu regras e metodologias a serem usadas pela ANPD com objetivo de monitorar as atividades de tratamento de dados pessoais e aplicações de sanções e multas.
A ANPD se propõe a promover medidas de orientação, conscientização e educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tema. Por sua vez no âmbito das sanções podem ser abertos processos administrativos instaurados de ofício pela Coordenação-Geral de Fiscalização por requerimento do mesmo órgão ou em decorrência do processo de monitoramento.
É importante atentar às disposições da Resolução, de modo a que os agentes que detenham dados pessoais de terceiros não venham a ser surpreendidos por medidas fiscalizatórias das quais possam resultar na aplicação de sanções. Em linhas gerais é relevante se ater as diversas fases de fiscalização, especialmente quanto ao direito das autoridades ao acesso de bancos de dados das empresas. É passível apresentar proposta de termo de ajustamento de conduta e a concessão de prazo para defesa e elaboração de relatório de instrução. Após eventual decisão desfavorável, ainda caberá recurso por parte do fiscalizado.
Mais recentemente, a ANPD publicou uma nova Resolução CD/ANPD nº 2/2022 em 07 de janeiro de 2022, que regulamenta o tratamento jurídico diferenciado para agentes de tratamento de pequeno porte, incluindo startups. O objetivo é reforçar a necessidade de adequação deste universo de negócios que por força da pandemia eclodiu e tornou-se alternativa para muitos desempregados.
Cabe destacar que podem se enquadrar as microempresas, pessoas jurídicas de direito privado sem fins lucrativos, pessoas naturais e entes privados despersonalizados. Inclusive as sociedades empresárias, sociedades simples, sociedades limitadas unipessoais e microempreendedores individuais devidamente registrados no órgão competente, segundo os critérios da Lei Complementar nº 123/2006 (assim definidas como empresas/entidades com faturamento anual de até R$ 4,8 milhões e até 99 funcionários.
A microempresa poderá ter faturamento anual de até R$ 360 mil e 19 funcionários, enquanto o microempreendedor individual poderá ter faturamento anual máximo de R$ 81 mil e 1 funcionário). Em relação às startups, a regulação segue os parâmetros já definidos pela Lei Complementar nº 182/2021, que estabeleceu o Marco Legal das Startups que abrange: (i) as empresas com até 10 anos de inscrição no cadastro nacional de pessoa jurídica (CNPJ); (ii) com faturamento bruto anual máximo de R$ 16 milhões; e (iii) que utilizem modelos de negócios inovadores para geração de produtos ou serviços. Devem ser analisadas as exceções constantes da Resolução CD/ANPD nº 2/2022 que pode determinar distinções que não se aplicam a tais empresas e por isso poderá a ANPD solicitar ao agente de pequeno porte a comprovação, em prazo de até 15 dias, do enquadramento nas condições necessárias para gozar dos benefícios do regulamento, reforçando a importância de uma análise consistente (art. 5º.).
De forma resumida, a Resolução CD/ANPD nº 2/2022, flexibiliza e dispensa estas modalidades de empresas de algumas obrigações, tais como:
- Simplificação do Registro de Operações de Tratamento (ROPA ou Inventário), de modo que a ANPD fornecerá modelo simplificado; (muito oportuno e de alto impacto, facilitando e estimulando à implementação);
- Procedimento simplificado de comunicação de incidentes de segurança, que contará com regulamentação específica a ser publicada pela ANPD (outra melhoria no processo);
- Dispensa da obrigatoriedade de nomeação do Encarregado (Data Protection Officer ou DPO), devendo manter apenas canal de comunicação para o exercício dos direitos dos titulares. Ainda assim, caso o agente de pequeno porte opte pela nomeação do DPO, a indicação será considerada boa prática de governança pela ANPD (afasta custo potencialmente desnecessário para estes negócios);
- Possibilidade de simplificação da Política de Segurança da Informação, contendo apenas os itens essenciais para a proteção de dados pessoais contra incidentes ou violações (foco em riscos e necessidades adequadas ao tamanho e impacto do negócio); e
- Prazo em dobro para resposta às requisições dos titulares de dados e realização de comunicações em caso de incidentes de segurança, observada a regulamentação própria a ser publicada sobre o tema pela ANPD (permitirá maior compromisso com adequações de processos).
Adicionalmente a presente Resolução possibilita que agentes de tratamento de pequeno porte, inclusive aqueles que realizam tratamento de alto risco, possam se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados que podem fazer uso der Métodos Adequados de Solução de Conflitos (MASC) (ar 8º).
Por fim, resta claro que a Resolução CD/ANPD nº 2/2022 vem para viabilizar a implementação da cultura de proteção de dados pessoais pelos agentes de pequeno porte e startups, permite-lhes assegurar a efetivação dos direitos dos titulares de dados e pretende afastar os riscos exponenciais que circundam o crescimento econômico destes mercados pautados pelas oportunidades de inovação.
Ficam as reflexões: ainda temos dúvidas de que a LGPD impacta a vida das pessoas e das empresas? e… Será que vale a pena esperar a ANPD bater a sua porta!
Por Thais Carloni
Leia outras notícias no portal Mundo Agro Brasil
