André Zonaro Guiacchetta*
Daniela Seadi Kessler**
Carolina Portella Izay***
No dia 28 de janeiro de 2022, Dia Internacional da Proteção de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD Nº 02, que regulamenta a aplicação de LGPD aos agentes de tratamento de pequeno porte, com o objetivo de dispensar e flexibilizar algumas de suas obrigações legais.
De acordo com a Resolução, para ser considerado como “de pequeno porte”, o agente de tratamento deve se enquadrar, cumulativamente, em três critérios: (i) natureza jurídica, (ii) receita bruta e (iii) risco do tratamento.
Natureza jurídica
Para compreender a natureza jurídica desta figura, a Resolução esclarece que os agentes de tratamento de pequeno porte podem ser a microempresa, a empresa de pequeno porte, o microempreendedor individual (MEI), a startup, a pessoa jurídica de direito privado – com ou sem fins lucrativos –, pessoa natural ou ente privado despersonalizado.
As pessoas jurídicas de direito público não se enquadram na categoria.
Receita bruta
A receita bruta destes agentes é critério relevante para o recebimento do tratamento legal diferenciado, sendo que os limites de renda dizem respeito não apenas ao agente, mas também a todo o grupo econômico de fato ou de direito que a empresa eventualmente pertença. Assim, a Resolução se aplica:
(a) nos termos da Lei Complementar nº 123/2006, (a.i) às microempresas, com renda anual de até R$ 360.000,00, e (a.ii) às empresas de pequeno porte, com renda anual de entre R$ 360.000,00 até R$ 4.800.000,00, ambos estes limites relacionados ao ano-calendário, aplicando-se o valor proporcional ao número de meses em que houver exercido atividade, inclusive as frações de meses, no caso de início de atividade no próprio ano-calendário;
(b) nos termos da Lei Complementar nº 182/2021, às startups, que são empresas nascentes ou em operação recente que tenham renda anual de até R$ 16.000.000,00.
Além do limite da receita bruta, para se enquadrar como startup, o agente não pode estar inscrito no CNPJ há mais de 10 anos e deve atender a pelo menos um dos seguintes requisitos: (i) declaração em seu ato constitutivo ou alterador e utilização de modelos de negócios inovadores para a geração de produtos ou serviços; ou (ii) enquadramento no regime especial Inova Simples.
Risco do tratamento
A natureza jurídica e a receita não são suficientes para o recebimento do tratamento diferenciado. Para se beneficiar das disposições da Resolução, os agentes de tratamento de pequeno porte devem se enquadrar também nos parâmetros relacionados ao risco do tratamento.
Nesse sentido, a Resolução aponta que não poderão se beneficiar as empresas que realizarem tratamento de alto risco. Ou seja, trata-se daqueles que realizam tratamento de dados pessoais em larga escala – abrangendo um número significativo de titulares, considerando-se o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado –, ou aqueles que realizam tratamento de dados pessoais que podem afetar significativamente o interesse dos titulares – isto é, que possa impedir o exercício de direitos ou a utilização de um serviço, assim como quando gerar danos morais ou materiais aos titulares, por exemplo.
A Resolução, no entanto, não esclarece os parâmetros para a definição do que seria um “número significativo de titulares”, não trazendo critérios objetivos para esta caracterização. Tem-se, aqui, um critério com relevante grau de subjetividade, relegando ao intérprete a tarefa de enquadramento caso a caso.
Critérios específicos
Ainda no quesito “risco do tratamento”, a Resolução traz também critérios específicos para que o agente possa se beneficiar das condições especiais por ela previstas. Nesse sentido, também não terão tratamento jurídico diferenciado as empresas cujas atividades envolvam:
(i) o uso de tecnologias emergentes ou inovadoras;
(ii) a vigilância ou controle de zonas acessíveis ao público – como praças, centros comerciais, vias públicas, estações de ônibus, metrô e de trem, aeroportos, portos, bibliotecas públicas, entre outros;
(iii) decisões automatizadas – inclusive se destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
(iv) tratamento de dados sensíveis ou tratamento de dados de crianças, adolescentes ou idosos.
Flexibilizações para os agentes de tratamento de pequeno porte
E uma vez preenchidos todos os critérios legais, quais as flexibilizações previstas na Resolução para estes agentes de tratamento de pequeno porte?
Atendimento às requisições
A primeira delas é a forma de atendimento às requisições dos titulares dos dados. A Resolução prevê, de forma adequada, a manutenção das obrigações de disponibilização de informações sobre o tratamento de dados pessoais e atendimento às requisições de titulares, nos termos dos artigos 9º e 18 da LGPD. Porém, possibilita a estes agentes fornecê-las, além de por meio eletrônico e impresso, conforme previsto na LGPD, também por “qualquer outro que assegure os direitos previstos na lei e o acesso facilitado às informações pelos titulares”.
Organização dos agentes de pequeno porte
Os agentes de tratamento de pequeno porte, inclusive aqueles que realizam tratamento de alto risco, podem se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Direitos dos titulares
Quanto aos direitos dos titulares, a surpresa foi a supressão da dispensa na minuta final, aos agentes de pequeno porte do atendimento ao direito à portabilidade, como estava previsto na minuta inicial levada à consulta pública. Esta decisão confirma a obrigatoriedade de atendimento desse direito por todos os agentes de tratamento, independentemente de seu porte, assim que for regulamentado pela ANPD.
Registros de operações
Uma facilidade trazida pela Resolução é que os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção dos registros das operações de tratamento de dados pessoais – ROPA – de forma simplificada, a partir de modelo que será fornecido pela ANPD.
Isenção de DPO
No regime jurídico diferenciado previsto pela Resolução, destaca-se também a isenção da obrigação de indicar o encarregado pelo tratamento de dados pessoais – a figura do DPO (“Data Protection Officer”), podendo apenas disponibilizar um canal de comunicação com o titular de dados pessoais.
No entanto, a indicação do encarregado pode ser considerada como uma boa prática a ser sopesada no momento do estabelecimento de parâmetros para eventuais sanções a serem aplicadas pela ANPD, nos termos do artigo 52, §1º, IX da LGPD.
Prazos diferenciados
Por fim, os agentes de tratamento de pequeno porte terão prazos diferenciados, sendo concedido prazo em dobro para atender à solicitação de titulares, comunicar à ANPD sobre eventuais incidentes de segurança, fornecer declaração de acesso clara e completa solicitada pelo titular sobre o tratamento de dados e para apresentar informações, documentos, relatórios e registros solicitados pela ANPD.
A ANPD ainda disporá especificamente sobre o procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte.
Ainda que a Resolução traga flexibilizações para os agentes de pequeno porte, é de fundamental importância estar atento ao fato de que a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Leia outros artigos dos autores:
LGPD e os desafios do compliance de dados pessoais
Transferência Internacional de Dados Pessoais na LGPD
* André Zonaro Giacchetta é sócio de Pinheiro Neto Advogados. Atua em litígios e consultivo relacionados ao mercado de tecnologia, com reconhecida expertise em temas de privacidade, proteção de dados e responsabilidade civil de plataformas de internet; atuação perante o STF em recursos com repercussão geral e audiências públicas de temas relevantes sobre tecnologia e relacionados; assim como perante órgãos reguladores e Ministério Público. Em mais de 20 anos de atuação, possui experiência acumulada com grandes empresas internacionais e também nacionais de tecnologia, possibilitando uma visão multidisciplinar e ampla do segmento.
** Daniela Seadi Kessler é advogada e mestre em Direito pela UFRGS. Pós-graduada (L.L.M) em Direito dos Negócios pela UNISINOS. Professora convidada para ministrar aulas em cursos livres e cursos de Direito em universidades nacionais. Palestrante em eventos nacionais e internacionais. Coautora do livro Direito à Portabilidade na Lei Geral de Proteção de Dados.
***Carolina Portella Izay é advogada associada na Pinheiro Neto Advogados, atuando com direito digital e tecnologia. É formada pela PUC-SP e pós-graduada em direito digital, propriedade intelectual e novas tecnologias pela FGV.
