Em que pese o seu efetivo funcionamento tenha se dado de forma tardia, por força de atrasos nas ações de nomeações e estruturações, ao passo da LGPD – Lei Geral de Proteção de Dados entrar em vigor sem que a ANPD – Autoridade Nacional de Proteção de Dados estivesse em seu pleno funcionamento, a ANPD e toda a sua diretoria vem dando passos importantes na normatização suplementar no tocante a proteção de dados.
A Lei Geral de Proteção de Dados trouxe em seu texto normas gerais de tutela do tratamento de dados pessoais no Brasil. Como exemplo disso, temos o art. 41, que dispõe que todos os controladores, necessariamente precisam indicar um Encarregado / DPO – Data Protection Officer como responsável pela gestão de fluxos, procedimentos e ações que envolvam tratamento de dados, além de ser responsável pela comunicação das empresas entre os titulares e a ANPD, sem, contudo, fazer distinção de aplicação desta regra. Neste ponto, cabe aqui uma observação sobre a evolução normativa quanto ao texto original da LGPD, vez que de acordo com este, existia a previsão de que o Encarregado deveria ser somente pessoa física, ou seja, além de toda empresa ser obrigada a ter um Encarregado, como norma geral, este deveria ser um colaborador da empresa, cenário que foi alterado após a Medida Provisória nº. 869, ainda no ano de 2018, qual estabeleceu a possibilidade do Encarregado ser pessoa física ou jurídica. Outro exemplo é a obrigação designada no art. 37 da LGPD, qual estabelece que as empresas, notadamente no caso da utilização da base legal do legítimo interesse, possuam o registro dos tratamentos de dados no ROPA – Record of Processing Activities.
A LGPD ao estabelecer normas de aplicações gerais, atribuiu competência à ANPD, conforme art. 55-J da LGPD, para normatizar relações especiais e adequar a efetiva aplicação desta legislação.
Utilizando da sua competência, a ANPD, através do seu Conselho Diretor, editou a Resolução CD/ANPD nº. 002/2022, publicada no Diário Oficial da União no dia 27 de janeiro de 2022, tratando, em procedimento especial, sobre dispensas e flexibilizações para pequenas empresas, no tocante ao processo de adequação e cumprimento da LGPD.
Inicialmente, importante destacar, que esta Resolução é somente aplicável a microempresas, empresas de pequeno porte e startups. Além disso, para serem elegíveis ao disposto na Resolução 002/2022, as empresas não podem realizar tratamento de alto risco para o titular, possuir faturamento ou participar de grupo econômico que possua faturamento superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021.
Em seu texto, a Resolução 002/2022, de forma coerente, traz flexibilizações necessárias e benéficas ao processo de tratamento e proteção de dados, ao titular de dados pessoais e a viabilidade de cumprimento da LGPD por estas empresas. Vale aqui destacar inicialmente, as disposições designadas nos arts. 9º e 11º, já que refletem diretamente nas normas da LGPD destacadas no início deste texto.
Em seu art. 9º, a resolução estabelece que as empresas de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, disposta no art. 37 da LGPD, de forma simplificada, indicando, inclusive, que caberá a ANPD fornecer um modelo deste registro simplificado. Na sequência, o art. 11º estabelece que as empresas de pequeno porte não serão obrigadas a indicar os seus respectivos Encarregados, conforme estabelece o art. 41 da LGPD, contudo, mantendo-se a obrigatoriedade de que estas empresas possuam um canal de comunicação com titular de dados, para atender o disposto no art. 41, § 2º, I da LGPD.
A forma do atendimento às requisições dos titulares feito pelas empresas de pequeno porte também foi flexibilizado, conforme dispõe o art. 7º da Resolução. No tocante a política de privacidade de dados e informação, a resolução permite que as empresas de pequeno porte possuam as suas de forma simplificada, estabelecendo assim os critérios necessários, além de conceder prazos administrativos em dobro para estas empresas, conforme disposto em seu art. 16.
Não é desprezível ressalvar, que a Resolução CD/ANPD nº. 002/2022 não afasta o regramento das demais normas da LGPD para empresas de pequeno porte. Consequentemente, até que haja, eventualmente, outra norma flexibilizadora, que venha a mitigar as disposições constantes em artigos da LGPD, o que efetivamente não foi tratado pela Resolução em comento, precisa ser integralmente cumprido pelas empresas de pequeno porte, sob pena de infringirem esta Lei e cometerem infrações susceptíveis as penalidades oriundas da norma de proteção de dados pessoais.
A normatização especial precisa ser estabelecida no âmbito da LGPD, como exemplo da relação empregado e empregador, ainda pendente de dispositivos específicos que tutelem o tratamento de dados neste contexto, entre outras relações e hipóteses. Sem os regramentos específicos, notadamente disposto pela ANPD, enfrentaremos situações de insegurança jurídica. Louvável a evolução da ANPD neste sentido, mas precisamos que a normatização específica se dê de forma mais acelerada, pacificando os conflitos que ainda se impõe.
Murilo Gomes, sócio e head das áreas de Direito Digital e de Negócios da MoselloLima Advocacia.