De acordo com a Lei Geral de Proteção de Dados Pessoais, art. 46, os agentes de tratamento precisam adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Assim, a LGPD requer que as empresas passem a adotar medidas de segurança, de sigilo de dados, de boas práticas e de governança, o que impacta processos e atividades estabelecidos até então.
Por conta disso, um programa de adequação à LGPD envolve diversas frentes de atuação, e abrange diferentes áreas de dentro de uma empresa. Isso acaba demandando tempo e recursos que irão variar de acordo com a sua estrutura, o mercado no qual atua e quantos clientes ou fornecedores ela possui.
Consequentemente, para pequenos negócios, cumprir com as obrigações previstas na LGPD pode ser bastante demandante. Não cumprir, por outro lado, pode ser bastante oneroso, tendo em vista as sanções previstas. Ciente das dificuldades que pequenos negócios podem passar durante o processo de adequação à lei, a Autoridade Nacional de Proteção de Dados (ANPD) publicou regulamento que visa trazer equilíbrio entre as regras constantes da lei e o porte do agente de tratamento de dados, por meio da Resolução CD/ANPD Nº 02.
Dentre as regras específicas, no que diz respeito às obrigações relacionadas aos direitos do titular, ficou determinado que os agentes de pequeno porte poderão atender às requisições dos titulares por qualquer meio que assegure os direitos previstos na LGPD e o acesso facilitado às informações. Além disso, esses agentes poderão se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
O regulamento traz uma simplificação em seu art. 9º: os agentes de tratamento de pequeno porte poderão realizar os registros das atividades de tratamento (art. 37 da LGPD) de forma simplificada e a ANPD, oportunamente, fornecerá modelo para preenchimento.
Ademais, haverá procedimento simplificado ou flexibilização de comunicação dos incidentes de segurança e de violação de dados pessoais. De acordo com o disposto na Resolução, a ANPD editará regulamentação específica.
Quanto à segurança e boas práticas, os agentes de pequeno porte “devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento” (art. 12, da Resolução). Nesse caso, também, a ANPD irá divulgar guias orientativos.
Além disso, os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, a qual deverá levar em conta custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
Foi flexibilizada a obrigação de indicar encarregado pelo tratamento de dados pessoais. Contudo, mesmo que os agentes de pequeno porte estejam dispensados de indicar um Encarregado, eles ainda assim precisam disponibilizar um canal de comunicação com o titular. No caso de haver um Encarregado indicado, isso será considerado boa prática de governança, a ser levada em consideração no caso de aplicação de sanções.
Por fim, a Resolução atribui prazos em dobro para os agentes de tratamento de pequeno porte para o atendimento de solicitações de titulares referentes ao tratamento de seus dados pessoais; a comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; e para o fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD.
MARINA PEREIRA DINIZ
