A consulta da ANPD sobre tratamento de alto risco merece sua atenção. Mesmo que sua empresa não seja um agente de pequeno porte.

Já não é novidade que, por meio da Resolução CD/ANPD nº 2 de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) aprovou regulamento com regras específicas para aplicação da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups.

Nesse regulamento, a ANPD, considerando as características e peculiaridades dos agentes de pequeno porte, flexibilizou algumas obrigações da LGPD, como a simplificação do procedimento de registro de operações de tratamento de dados (ROPA), a liberdade para definição do meio de preferência (eletrônico, físico ou outros) para atendimento dos direitos assegurados aos titulares de dados e a eliminação da obrigação de apontamento de Encarregado pelo Tratamento de Dados (DPO).

Beneficiam-se de tais flexibilizações todos os agentes de tratamento de pequeno porte, com exceção daqueles que excedem faturamento limite definido no Estatuto Nacional da Microempresa e Empresa de Pequeno Porte (LCP 123) e do Marco Legal das Startups (LCP 182) ou que realizem tratamento considerado de alto risco aos titulares de dados, o que acontece sempre que se verifica a incidência de pelo menos um critério geral e um critério específico, tal como trazido pelo artigo 4o da Resolução CD/ANPD nº 2 de 2022.

Dentre os critérios trazidos pela referida Resolução estão o “tratamento de dados pessoais em larga escala” e o "uso de tecnologias emergentes ou inovadoras", tópicos sobre os quais a ANPD está com tomada de subsídios aberta desde 29/08/2022 até 28/10/2022, de forma a captar os entendimentos da sociedade para, em seguida, formar o seu próprio.

Por mais que esteja aberta há algum tempo, referida tomada de subsídios conta – até a primeira semana se outubro – com apenas 21 contribuições. No entanto, ao nosso ver, não se pode tomar o tema do tratamento de alto risco como de menor importância em relação a outros já enfrentados pela Autoridade, especialmente em razão dos seus potenciais reflexos em assuntos de interesse de todo e qualquer agente (não apenas aqueles enquadrados como sendo de pequeno porte), como:

• definição de critérios para classificação (e comunicação) de incidentes de segurança envolvendo dados pessoais;
• classificação da gravidade das infrações; e
• critérios que orientam a elaboração de relatórios de impacto à proteção de dados (RIPD).

Nesse sentido, parece-nos claro que os tópicos e provocações propostos pela ANPD para a presente tomada de subsídios, apesar de vinculados especificamente ao contexto da regulamentação de agente de pequeno porte, acertadamente ou não, têm o potencial de gerar efeitos em futuros entendimentos do órgão sobre ao menos mais três temas centrais da legislação de proteção de dados (incidentes, RIPD e sanções). O tema, portanto, merece mais do que as poucas contribuições apresentadas até o momento. 

Texto produzido em coautoria com Pedro Sanches , incluindo insights de Carolina Giovanini . Interessou-se sobre o tema desta tomada de subsídios? Comente este artigo ou nos mande uma mensagem.