A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou nesta sexta-feira, 28, resolução com as regras que regulamentam a aplicação da Lei Geral de Proteção de Dados (LGPD) aos agentes de pequeno porte que tratam dados pessoais. Pela resolução, este grupo não é obrigado a indicar o encarregado pelo tratamento de dados pessoais, conforme exigência prevista na LGPD.
A resolução é direcionada para microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Segundo Miriam Wimmer, diretora da ANPD, o regulamento estava previsto como um dos primeiros itens da agenda regulatória da Autoridade. "Este documento passou por consultas interna e pública, foi bastante discutido. É norma interessante e delicada, pois reconhece as especificidades dos agentes de pequeno porte quando tratam de dados pessoais, mas ao mesmo tempo não fragiliza o direito dos titulares. Ele busca um equilíbrio entre esses dois cenários", explicou.
Wimmer também destaca que tem alguns pontos que ainda carecem precisam ser trabalhados na ANPD. "Nós vamos ainda emitir orientações sobre alguns pontos dessa norma. Também publicaremos guias, faremos mais momentos de debates para densificar alguns conceitos que ainda são muito abertos. Mas o importante é que temos alguns parâmetros que de um lado dão tranquilidade para os agentes de pequenos, evitando custos regulatórios excessivos, e de outro assegura os direitos dos titulares", informou.
Situação dos agentes de pequeno porte
Segundo Harumi Miasato, advogada da área de privacidade e proteção de dados/tecnologia do PDK Advogados, a resolução leva em consideração que os agentes de pequeno porte em geral possuem capital reduzido, possibilitando nesse cenário que este setor possa dar continuidade às suas operações com dados pessoais, adequando-se à LGPD e demais regulamentos aplicáveis de acordo com a sua capacidade econômica e tecnológica.
Miasato também lembra que o fato desses agentes não serem obrigados a indicar encarregado não significa dizer que existirão riscos em relação aos dados tratados por eles, considerando que também devem estar em conformidade com a LGPD e buscar orientações adequadas de profissionais especializados sobre medidas de segurança e governança de dados pessoais. "Sendo importante destacar que, a mera indicação de um encarregado não possui o condão de reduzir os riscos oriundos das atividades de tratamento. Além disso, as operações que apresentem um alto risco de impacto à privacidade e proteção de dados pessoais dos titulares não receberão o tratamento diferenciado previsto pela resolução", explicou a advogada ao TELETIME.
