Regulamento flexibiliza normas da lgpd para agentes de pequeno porte e beneficia condomínios e associações, dentre outros

/em /por

No dia 28 de janeiro de 2022, Dia Internacional da Proteção de Dados, foi publicada no Diário Oficial da União a Resolução CD/ANPD nº 2, que aprova o Regulamento da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. Tal medida marca um importante avanço no ordenamento jurídico brasileiro e possibilita o preenchimento de lacunas até então existentes.

Os denominados “agentes de tratamento de pequeno porte” que podem se beneficiar do tratamento jurídico diferenciado oferecido pelo Regulamento são:

  • Microempresas: com até 19 funcionários e faturamento anual de até R$ 360 mil;
  • Empresas de pequeno porte: com até 99 funcionários e faturamento anual de até R$ 4,8 milhões;
  • Startups: empresário individual, empresa individual de responsabilidade limitada, sociedade empresária, sociedade cooperativa ou sociedade simples que (i) possuir faturamento bruto de até R$ 16 milhões ao ano; (ii) tenham no máximo 10 anos de inscrição perante o cadastro nacional de pessoa jurídica – CNPJ; e (iii) atendam aos requisitos de inovação fixados pelas legislações próprias;
  • Pessoas jurídicas de direito privado sem fins lucrativos;
  • Pessoas naturais;
  • Entes privados despersonalizados; e
  • Sociedades empresárias, sociedades simples, sociedade limitadas unipessoal e aos microempreendedores individuais (com até 1 funcionário, e faturamento anual de até R$ 81 mil), devidamente registrados no órgão competente.

 

O Regulamento não se aplica automaticamente para todos esses agentes, não sendo cabível aos agentes que tratam dados pessoais de alto risco para os titulares; aufiram receita bruta superior aos limites acima indicados; ou pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse esse limite.

O tratamento de dados de alto risco, nos termos do Regulamento, é caracterizado quando o agente atender, cumulativamente, a pelo menos um dos critérios gerais e um dos critérios específicos indicados na norma.

Os critérios gerais consistem no: (a) tratamento de dados pessoais em larga escala, sendo assim considerados quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento; e, (b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, ocorrendo, dentre outras situações, naquelas em que a atividade de tratamento for capaz de impedir o exercício de direitos ou a utilização de um serviço, ou ainda ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já os critérios específicos consistem em: (a) uso de tecnologias emergentes ou inovadoras; (b) vigilância ou controle de zonas acessíveis ao público, sendo certo que essas zonas consistem em espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros; (c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou (d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Em comparação às exigências contidas na LGPD, o Regulamento é mais flexível e vantajoso para os agentes beneficiados, chegando a dispensar algumas obrigações até então existentes. O Registro de Operações de Tratamento (ROPA) para esses agentes passará a ser simplificado, assim como a Política de Segurança da Informação e o procedimento de comunicação de incidente de segurança também poderão ser objeto de simplificação.

O Regulamento também oferece prazo em dobro para que os agentes de tratamento de pequeno porte cumpram alguns procedimentos tutelados pela LGPD, como por exemplo, o fornecimento informações, documentos, relatórios e registros solicitados pela Autoridade Nacional de Proteção de Dados – ANDP, e o atendimento às solicitações dos titulares referentes ao tratamento de seus dados pessoais.

Mas, ao nosso ver, a maior vantagem trazida pela norma é que a indicação do encarregado pelo tratamento de dados pessoais (Data Protection Officer – DPO) torna-se facultativa, devendo o agente, nestes casos, obrigatoriamente manter um canal de comunicação com os titulares dos dados para que possam exercer os direitos garantidos em lei. Por outro lado, caso o agente opte por manter a indicação do encarregado, tal conduta será reputada como política de boas práticas e governança, o que impactará positivamente no momento de aplicação das sanções e penalidades pela ANPD.

De acordo com diversas discussões jurídicas, os condomínios podem ser reputados entes despersonalizados ou pessoas jurídicas de direito privado sem fins lucrativos. Em regra, todos os condomínios tratam dados pessoais sensíveis (fotografias, impressão digital, reconhecimento facial, imagens de CFTV, entre outros) e, em alguns casos, dados de crianças e adolescentes, portanto preenchem um dos critérios específicos que não lhes permitiria o benefício da norma. Resta, então saber se os critérios gerais a eles se aplicam, o que nos parece que não acontece. Embora possam tratar dados pessoais em larga escala, abrangendo número significativo de titulares, o volume de dados envolvidos não é expressivo, assim como a duração e a extensão geográfica do tratamento.

Portanto, nos parece que os condomínios e as associações de proprietários podem ser beneficiados pelo novo Regulamento, mediante avaliação de cada caso concreto. E, mais do que nunca, deverão criar processos para eliminação periódica dos dados pessoais na operação de controle de acesso; o tratamento de dados sensíveis deve ser limitado e evitado sempre possível e apenas os documentos trabalhistas dos funcionários das empresas terceirizadas considerados essenciais deverão ser mantidos, também com política de eliminação respectiva.

Finalmente, lembramos que, apesar da flexibilização de diversas obrigações aos agentes beneficiados pelo Regulamento, tal medida não exime o devido cumprimento aos demais dispositivos da LGPD, bases legais e princípios norteadores, assim como das demais disposições legais relativas à proteção de dados pessoais e aos direitos dos titulares.

O escritório Maluf Geraigire Advogados  assessora juridicamente empresas de todos os portes e segmentos nas mais diversas demandas, inclusive na implementação da LGPD.

Entre em contato conosco e agende uma reunião.

Renata Cattini Maluf é sócia no escritório Maluf Geraigire Advogados.

Diplomada bacharel em Direito – PUC/SP
Pós-graduada em Direito Empresarial (“lato sensu”) – PUC/SP
Mestre em Direito Civil – PUC/SP
Membro da Ordem dos Advogados do Brasil e da Associação dos Advogados de São Paulo. Diretora Presidente da Fundação Julita no período de 2010 a 2015.
Membro do Conselho Curador da Fundação Julita.
Vice-Presidente do Conselho Deliberativo da Associação Paulista de Fundações – APF.
Membro do Quadro de Associados do Hospital do Coração – HCor.
Autora dos artigos “Contratação dos artistas, técnicos em espetáculos de diversões, músicos e outros”, integrante do livro Manual do Direito do Entretenimento. Guia de Produção Cultural, São Paulo, Editora Senac, 2.009 e “Relações de consumo no comércio eletrônico do entretenimento”, integrante do livro Direito do Entretenimento na Internet, São Paulo, Editora Saraiva, 2.014.