Micro e pequenas empresas, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados, já contam com um modelo próprio para registrar o tratamento de dados pessoais que realizam.
Cadastrar clientes e pacientes, guardar dados para envio de produtos ou para gerar e enviar nota fiscal, dados para contato, para a identificação do paciente em procedimentos ou em prescrição médica, para elaborar contrato, para providenciar a contratação do colaborador, enfim, toda a gama de atos praticados diariamente pelas organizações ou profissionais liberais, que envolvem informações relativas a pessoas naturais, constituem tratamento de dados, nos termos da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
E por força da LGPD, o modo de lidar com estas informações mudou e deve seguir os parâmetros por ela instituídos. Por mais óbvio que possa parecer a finalidade para a qual os dados para o cadastro do cliente são coletados, é preciso identificar e registrar esta finalidade específica, que deve também ser legítima, e esta coleta somente pode acontecer se ela se enquadrar em algum dos fundamentos que a LGPD elenca como permitidos para que se realize tratamento de dados pessoais.
Além disso, toda atividade que envolva os dados pessoais precisa respeitar os princípios da proteção de dados, como o da boa fé, o da necessidade dos dados, o da transparência, da segurança e da prevenção, dentre outros.
A LGPD instituiu uma série de deveres a serem observados por quem detém dados pessoais, denominado agente de tratamento de dados. Dentre estes deveres, está o de manter o registro das características das operações de tratamento de dados realizadas (art. 37).
Reconhecendo as diferentes realidades vividas pelos agentes de tratamento, consoante a sua dimensão, a entidade incumbida de assegurar o cumprimento da LGPD, a Autoridade Nacional de Proteção de Dados – ANPD, no uso de suas competências, editou a Resolução CD/ANPD Nº 2/ 2022, que aprovou o Regulamento de aplicação da LGPD para agentes de tratamento de dados de pequeno porte. Este Regulamento flexibilizou a forma de aplicação de alguns pontos da Lei para estes agentes.
Ressalta-se que a mencionada flexibilização não importa em redução das obrigações ou do nível de proteção dos dados pessoais ou mesmo em autorização para aplicação parcial da Lei.
O regime de proteção de dados se estrutura através de um mecanismo denominado abordagem baseada no risco, que permite que as medidas a serem implementadas considerem as características próprias e concretas de cada agente de tratamento e das operações de tratamento de dados que ele realiza.
Neste contexto, o Regulamento permite que os registros das operações de tratamento de dados dos agentes de pequeno porte sejam feitos de forma simplificada e previu que a ANPD disponibilizaria um modelo para este registro simplificado.
Em 14 de junho de 2023 o modelo simplificado de registro das operações de tratamento de dados foi divulgado pela ANPD, em dois formatos:
formato pdf e como
planilha do Excel. [
clique aqui para baixar os modelos]
Este registro das operações permite o cumprimento do princípio da responsabilização e prestação de contas (art. 6º, X da LGPD), segundo o qual o agente de tratamento deve ser capaz de demonstrar as medidas adotadas e a sua eficácia.
Mas o registro das operações é também uma obrigação autônoma, de modo que a sua inexistência, por si só, implica em violação da LGPD.
Para utilizar adequadamente o modelo e conseguir efetuar o preenchimento dos campos, o agente deve buscar auxílio especializado, porquanto o conteúdo a ser preenchido deve efetivamente corresponder à sua realidade, sob pena de incorrer em fraude.
A disponibilização do modelo desde já denota uma priorização da situação dos agentes de pequeno porte, na agenda da ANPD, sendo uma forte sinalização para quem ainda cultiva a ideia de que a LGPD está direcionada apenas para as grandes organizações e que as pequenas não serão fiscalizadas.
Destaca-se que o agente de tratamento está sujeito não apenas às ações fiscalizatórias por parte das autoridades, mas também a prestação de contas aos titulares dos dados que se encontram sob sua custódia.