LGPD: Advogado e membro do CNPD fala sobre regras para pequenas e médias empresas

04 de março de 2022

O advogado e membro do Conselho Nacional de Proteção de Dados (CNPD), Vítor Morais de Andrade, conversou com a Aner sobre a adequação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. A regulamentação foi aprovada no fim de janeiro e, desde então, já está em vigor.

Segundo a Autoridade Nacional de Proteção de Dados (ANPD), a “baixa maturidade e a falta de uma cultura de proteção de dados pessoais pelos agentes de pequeno porte pode dificultar a adequação desses agentes aos ditames da LGPD e, eventualmente, pode inviabilizar sua existência”. No entanto, isso não deve ser um empecilho para que o direito do consumidor à proteção de seus dados seja mantido também quando ele tiver os dados sob o poder destas empresas, como obriga a LGPD.

Regras são forma de adequar LGPD aos pequenos

A aprovação de regras diferenciadas para as pequenas e micro empresas e demais agentes de tratamento de pequeno porte é uma oportunidade para  que os responsáveis pela guarda dos dados consigam se adequar à legislação. Desde o ano passado a Aner vem buscando opções para explicar aos seus associados como realizar a adequação das empresas às exigências da lei. Uma delas foi a participação de Vitor Morais de Andrade no Café com Aner, em setembro de 2021.

Clique e veja o bate-papo dos editores com Vítor, sobre LGPD, no Café com Aner

Na entrevista que publicamos hoje, o advogado, que é especialista em Direito do Consumidor, Direito de Tecnologia e Comunicação Social e sócio do Morais de Andrade Advogados contou como foi o processo de construção da regulamentação.

Vitor falou sobre alguns pontos a que os pequenos empresários e responsáveis por dados em empresas que pequeno porte devem ficar atentos e destacou a importância da leitura do Guia de Segurança para Agentes de Tratamento de Pequeno Porte para que os empresários consigam se adequar à legislação. No Conselho, o advogado representa a Associação Brasileira de Marketing de Dados (ABEMD) e a Associação Brasileira de Agências de Publicidade (Abap).

 O que significa a chegada dessa legislação? Qual a sua importância?

As novas regras da ANPD (Resolução CD/ANPD nº 02 de 27 de janeiro de 2022) sobre proteção de dados para micro e pequenas empresas visam atender as disposições da própria LGPD, que já previa a possibilidade de tratamento diferenciado em determinadas situações.

Assim, as novas regras, que foram objeto de consulta pública durante o ano de 2021, visam a garantir padrões mínimos de atendimento à legislação de proteção de dados, ao mesmo tempo em que permitem certa redução dos custos operacionais do projeto de compliance (alinhamento de regras) pelas micro e pequenas empresas.

É importante destacar que o critério não é ser, ou não, agente de tratamento de pequeno porte. Com efeito, não poderão se beneficiar destas regras as empresas que:

• realizem tratamento de alto risco para os titulares;
• aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021
•  pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.

Quais são os pontos a que os pequenos empresários e responsáveis por dados em empresas que pequeno porte devem ficar atentos?

A Resolução da ANPD não elimina a necessidade do processo de compliance, embora simplifique alguns pontos:

• possibilidade dos agentes de tratamento de pequeno porte organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas pelos titulares de dados pessoais;
• os agentes de tratamento de pequeno porte poderão elaborar o Registro das Operações de Tratamento de Dados Pessoais de maneira simplificada, a partir de um modelo a ser disponibilizado pela própria ANPD;
• ANPD estabelecerá regras simplificadas para que os agentes de tratamento de pequeno porte possam comunicar a ANPD sobre incidentes de segurança da informação;
• os agentes de tratamento de pequeno porte não são obrigados a indicar um Encarregado de Proteção de Dados Pessoais em seu site, porém devem possuir um canal oficial para que os titulares possam exercer seus direitos;
• os agentes de tratamento de pequeno porte terão prazo em dobro (a) no atendimento às demandas dos titulares; (b) na comunicação à ANPD de incidente de segurança da informação; (c) no fornecimento de declaração clara e completa, nos termos do art. 19, II, LGPD; (d) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento;
• os agentes de tratamento de pequeno porte poderão ter uma política de segurança da informação simplificada.

No Capítulo III, há referência ao “tratamento de dados de alto risco”. O que a ANPD considera um número significativo de titulares? Quais os parâmetros a que o empresário deve ficar atento para saber se o tipo e a quantidade de dados com que ele trabalha pode ser considerada como um número significativo de titulares e de alto risco?

Até o momento, inexiste qualquer parâmetro oficial que permita afirmar o que significa um “número significativo de titulares”. A regra do art. 4º estabelece que o tratamento de alto risco será aquele que atender cumulativamente a pelo menos um critério geral (tratamento de dados em larga escala e/ou tratamento de dados que possa afetar significativamente interesses e direitos fundamentais dos titulares) e um critério específico (uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões automatizadas e/ou utilização de dados sensíveis ou dados de crianças, adolescentes e idosos).

Ademais, especificamente sobre o tratamento de dados em larga escala, estabelece que assim será entendido quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvido, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Quais são os critérios para indicação de segurança e boas práticas para estas empresas de menor porte? Quem elas devem procurar para saber o parâmetro dos procedimentos de segurança a serem implantados?

A LGPD estabelece que a adoção de medidas de segurança e boas práticas configuram medidas atenuantes da responsabilidade em caso de incidente de segurança da informação. A recente resolução sobre micros e pequenas empresas deixa isso evidente, ao salientar que as empresas devem adotar medidas administrativas técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação.

Estabelece, ainda, que as empresas poderão adotar política de SI simplificada, desde que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Para informações mais concretas sobre critérios de segurança da informação, a ANPD disponibilizou, em 2021, o Guia de Segurança da Informação para empresas pequenas e o Check-List de Segurança da Informação, excelentes pontos de partida para que as empresas possam validar suas políticas.

Quais são os requisitos mínimos de segurança da informação a que os pequenos empresários devem se adequar? Como ele deve avaliar quais as medidas administrativas e técnicas essenciais e necessárias para que possa atuar sem ferir a lei?

Conforme dispõe o art. 12 da Resolução CD/ANPD nº 2, publicada em 27 de janeiro de 2022, os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias para a segurança da informação, dentre as quais, guias orientativos. O atendimento a esses guias pode ser utilizado como cumprimento dessa resolução.

Assim, para avaliar as medidas necessárias, o pequeno empresário poderá consultar o Guia de Segurança da Informação para empresas pequenas e o Check-List de Segurança da Informação. Eles elencam os seguintes requisitos mínimos para a adequação à lei:

• Medidas administrativas: política de segurança da informação; conscientização e treinamento; gerenciamento de contratos;
• Medidas técnicas: controle de acesso; segurança de dados armazenados; segurança das comunicações; manutenção de programa de gerenciamento de vulnerabilidades; e, por fim, segurança para dispositivos móveis e dispositivos em nuvem.