Sobre DPO (Data Protection Officer): no dia 30 de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANDP) iniciou uma consulta pública cujo objetivo é rever a aplicação da Lei Geral de Proteção de Dados (LGPD) para microempresas, empresas de pequeno porte, startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos.
O objetivo da minuta de norma apresentada pela ANPD é liberar esses atores, chamados de agente de pequeno porte, de algumas das obrigações previstas na LGPD.
Uma das obrigações que será dispensada é a necessidade de indicação de um DPO, também chamado de encarregado de dados.
Esse profissional é o responsável por cuidar e manter os dados que a empresa tem armazenado. Ele garantirá que as informações que estão em posse da empresa serão usadas apenas para os fins declarados e acordados com o consumidor.
Nesse sentido, a norma proposta pela ANPD prevê, em seu artigo 13, que:
“Art. 13. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.”
Por outro lado, caso eles decidam por não indicar um encarregado pelo tratamento de dados, será necessário oferecer um meio de comunicação para o titular dos dados.
É isso o que está previsto no parágrafo único do mesmo artigo.
“Parágrafo único. O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados.”
Além disso, a norma também traz as seguintes previsões para os agentes de pequeno porte:
- Possibilidade de fazer-se representar por entidades de representação empresarial, por pessoas físicas ou jurídicas em negociações, mediações e conciliações relacionadas a impugnações dos titulares dos dados.
Isso é possível ainda que o agente de pequeno porte realize tratamento de alto risco e em larga escala.
- Prazo em dobro nas tratativas com a ANPD.
- Uso de meios eletrônicos para suporte aos titulares de dados.
- Possibilidade de estabelecer política simplificada de segurança da informação desde que contemple condições indispensáveis para o tratamento de dados.
- Dispensa da obrigação de manter registros das operações de tratamento de dados pessoais prevista no art. 37, LGPD.
Quanto a este último ponto, a proposta da ANDP, em seu art. 11, prevê que:
“Art. 11. Os agentes de tratamento de pequeno porte podem apresentar o relatório de impacto à proteção de dados pessoais de forma simplificada quando for exigido, nos termos da resolução específica.”
Até agora, abordamos apenas benefícios trazidos pela ANPD. Porém, a norma, em seu art. 3º, traz uma limitação.
Segundo esse artigo, as dispensas e flexibilizações de obrigações não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares.
As únicas ressalvas a essa previsão são a possibilidade de representação já explicada acima e a hipótese prevista no art. 13, parágrafo único, que também já foi transcrito no início deste texto.
E o que é tratamento de alto risco?
A sua definição está prevista no art. 3º, §1º.
Segundo esse artigo, tratamento de alto risco é, entre outras hipóteses, aquele que envolve:
“I – dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
II – vigilância ou controle de zonas acessíveis ao público;
III – uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
IV – tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.”
Necessário salientar que esta é uma lista apenas exemplificativa. Ou seja, outras hipóteses podem caracterizar-se como tratamento de alto risco.
Por fim, o objetivo da ANDP com a criação de procedimentos simplificados para agentes de pequeno porte é facilitar a adequação desse grupo à LGPD.
Dessa maneira, é possível disseminar a cultura da proteção de dados e, ao mesmo tempo, garantir o direito dos titulares.
A consulta pública terá o prazo de 30 dias e ocorrerá no site Participa + Brasil.
Além disso, nos dias 14 e 15 de setembro, ocorrerá uma audiência pública sobre o assunto no canal da ANDP no YouTube. Aqueles que desejam se manifestar oralmente durante a audiência pública podem se inscrever neste link.
