Data Privacy Brasil envia à ANPD sugestões para a aplicação da LGPD em pequenas empresas

A Data Privacy Brasil, por meio da Associação Data Privacy Brasil de Pesquisa e da Data Privacy Brasil Ensino, enviou à Autoridade Nacional de Proteção de Dados (ANPD) propostas a respeito da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em pequenos negócios. As sugestões foram encaminhadas na forma de contribuição à consulta pública sobre a minuta de regulamentação da norma em microempresas, empresas de pequeno porte, iniciativas de caráter incremental ou disruptivo e startups.

Aberta para contribuições no período de 30 de agosto a 14 de outubro, a consulta pública tem o objetivo de recolher propostas para facilitar a adoção da LGPD por negócios de menor porte. 

Observando a minuta proposta pela ANPD, a Data Privacy Brasil elencou sete pontos que merecem maior cuidado e aprofundamento. 

Confira, a seguir, as considerações encaminhadas por meio da consulta pública.

1) Atividades de tratamento de alto risco

A abordagem da ANPD de considerar não só o porte econômico do agente de tratamento como também o risco aos titulares dos dados é positiva. Para a Data Privacy Brasil, o critério de larga escala não deve ser considerado cumulativo ao alto risco. Podem existir empresas pequenas que realizem atividades de alto risco. A larga escala pode ser vista como critério para alto risco, e não como um elemento separado.

2) Obrigação de registro das atividades de tratamento

A minuta prevê a dispensa completa e um sistema de registro voluntário por parte das empresas de pequeno porte. Todavia, tal desobrigação extrapola as competências previstas na LGPD. Além disso, o registro das atividades de tratamento é uma obrigação fundamental para uma adequada governança das atividades de tratamento de dados.

3) Relatório de impacto à proteção de dados pessoais

A Data Privacy Brasil defende que o relatório de impacto à proteção de dados pessoais não deve ter como parâmetro o porte da empresa, mas o risco proveniente da atividade ou do conjunto de atividades de tratamento de dados. O relatório é um componente integrado da gestão de risco que pode ser extremamente útil até para pequenas empresas.

4) Segurança da informação

A minuta prevê a possibilidade de flexibilização ou dispensa do dever de comunicação de incidente de segurança para empresas de pequeno porte. Contudo, o que incita esse dever é o risco ocasionado pelo incidente, não o porte do agente de tratamento. De toda maneira, nada impede que procedimentos simplificados sejam oferecidos aos pequenos negócios, desde que se preserve a harmonia entre a LGPD e demais normais legais, como o Marco Civil da Internet e o seu decreto regulamentador (Decreto nº 8.771). Ressalta-se que calibrar e flexibilizar o procedimento para essa comunicação não se confunde, em hipótese alguma, com uma flexibilização ou dispensa do dever de comunicar um incidente.

5) Indicação de encarregado

Embora a ANPD possa dispensar os agentes de pequeno porte de apontar um encarregado de dados (DPO), a indicação é uma boa prática, pois garante maior proteção aos direitos e às liberdades fundamentais dos titulares de dados. No entanto, para reduzir os custos gerados pela atividade, a ANPD poderia prever a possibilidade de nomeação de um mesmo encarregado por um conjunto de organizações, incluindo empresas de pequeno porte.

6) Prazos diferenciados

Quando de um incidente, a minuta prevê prazos com o dobro do tempo para agentes de pequeno porte informarem a ANPD e os titulares dos dados. Contudo, diferentemente da comunicação aos titulares, não há grandes empecilhos para comunicar o incidente à ANPD. Como procedimento simplificado, a Autoridade Nacional poderia regulamentar uma comunicação por etapas, de modo que, caso o agente não disponha de todas as informações de imediato, possa, em um primeiro momento, proceder com uma notificação simplificada. Os complementos, assim, seriam enviados posteriormente. Desse modo, o prazo em dobro para comunicar um incidente à ANPD se mostra desproporcional.

7) Direitos dos titulares

A dispensa total do cumprimento das obrigações relativas ao atendimento de determinados direitos dos titulares é uma ação que foge da competência da ANPD, além de prejudicar ainda mais os titulares. Nesse sentido, a Data Privacy Brasil recomenda que os direitos dos titulares previstos pela LGPD sejam garantidos de forma completa, sendo, contudo, aconselhável que agentes de pequeno porte possuam meios facilitados para cumprir com essa obrigação, a partir de orientações, guias e templates a serem desenvolvidos pela Autoridade Nacional.

“A minuta proposta pela ANPD tem um grande acerto, que é flexibilizar as obrigações da LGPD, tendo como base não só o porte econômico do agente de tratamento, mas também o risco das atividades que ele desenvolve”, declara Pedro Martins, coordenador acadêmico da Data Privacy Brasil Ensino. “Contudo, em alguns casos, ao propor a dispensa total de algumas obrigações previstas em lei, a ANPD extrapola a sua competência e pode vulnerabilizar ainda mais a posição dos titulares de dados”, acrescenta.As propostas da Data Privacy Brasil podem ser conferidas, em detalhes, no seguinte link: https://bit.ly/dpbr_contribuicao_pmes_anpd.

Cadastre-se e receba em seu email a nossa newsletter