A Autoridade Nacional de Proteção de Dados – ANPD publicou recentemente a Resolução nº 2, de 27 de janeiro de 2022, com as regras para aplicação da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) para agentes de tratamento de pequeno porte (não apenas empresas).
No entanto, quem compreende o regime jurídico da proteção de dados sabe não se tratar de nenhuma novidade; ao contrário, representa uma ligeira especificação dos mecanismos em que o regime da proteção de dados se assenta.
A Resolução não se aplica a todos os agentes de pequeno porte e não representa diminuição do grau de proteção do direito fundamental à proteção de dados dos titulares.
Ela flexibiliza algumas regras da LGPD para aqueles agentes, como, por exemplo, a sua desobrigação de indicar um Encarregado do Tratamento de Dados - ou seja, a pessoa responsável pela implementação da cultura da proteção de dados na organização, por receber e atender as demandas dos titulares de dados, bem como responder às notificações da ANPD - devendo, entretanto, instituir um canal de comunicação com os titulares dos dados.
A manutenção dos registros das operações de tratamento de dados poderá ser feita de modo simplificado, assim como poderão os agentes de pequeno porte estabelecer política simplificada de segurança da informação e deverão contar com um procedimento também simplificado para a comunicação, à ANPD, dos incidentes de segurança de dados.
As medidas técnicas e administrativas, essenciais e necessárias, deverão atender a requisitos mínimos de proteção dos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Estas medidas constituem aplicação do mecanismo da “abordagem baseada no risco”, que é o meio operacional de um dos princípios da LGPD, o da responsabilização e prestação de contas (accountability).
Seja qual for o porte da organização, as medidas a serem implementadas para proteger os dados pessoais sob sua custódia devem ser moduladas à sua realidade, ou seja, devem levar em consideração o grau de risco da atividade, o seu contexto, alcance, categorias e natureza dos dados envolvidos, o volume de dados tratados, o número de titulares, assim como a realidade do agente de tratamento de dados e os custos de implementação das medidas.
Esta é a perspectiva da LGPD, refletida na Resolução. O foco do agente de tratamento deve ser o de conferir o maior grau de proteção aos dados e muitas medidas eficazes são simples, de caráter organizacional, de baixo custo.
Quanto maior o grau de transparência no tratamento dos dados, maior a percepção da boa fé na implementação das medidas.
É crucial para a organização empreender ações para compreender o regime da proteção de dados e repensar a atividade, a partir desta perspectiva, providenciando a conscientização dos colaboradores e o seu treinamento, inclusive sobre suas responsabilidades.
A flexibilização da Resolução recai sobre aspectos procedimentais e instrumentais, mas não sobre os resultados a serem alcançados.
Através de instrumentos e procedimentos mais simplificados, devem os agentes de tratamento de pequeno porte assegurar aos titulares dos dados o mesmo grau de proteção resguardado pela Lei.
A opção por não utilizar os instrumentos postos na LGPD significa a decisão de substituí-los por outros que, embora de implementação mais simples, assegurem o grau de proteção a que o titular dos dados faz jus.
Daí dispor a Resolução que as medidas a serem implementadas pelos agentes de pequeno porte devem considerar o nível de risco à privacidade dos titulares de dados e a estrutura, escala e volume das suas operações.
Ao apresentar a Resolução ao público, a ANPD ressaltou: “o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas."