LGPD para agentes de tratamento de dados de pequeno porte: critérios de inclusão no regime simplificado e efeitos sobre os incentivos à inovação

Inovar nem sempre é criar algo completamente novo. Grandes inovações frequentemente surgem de pontuais mudanças na forma tradicional de fazer negócios e mesmo de um olhar diferente sobre ativos antigos ou até então inutilizados. O cenário tecnológico estimula os agentes a operar essas pequenas pivotagens, até encontrar o que na cultura de startups se chama “mar azul”, aquele grande setor do mercado praticamente inexplorado.

Na interação entre empresas e Estado, o último é chamado a garantir o cumprimento das regras do jogo, mas essas regras não podem, por excesso, acabar encerrando a partida. É com isso em mente que deve ser lida a Resolução nº 2, editada pela Autoridade Nacional de Proteção de Dados – ANPD, em 27 de janeiro de 2022.

Essa normativa prevê as regras para agentes de tratamento de dados de pequeno porte. A ideia é estabelecer normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte, assim como startups e entidades sem fins lucrativos, se adequem ao ambiente de proteção de dados. A finalidade é evitar abusos e proteger os titulares de dados; os meios, no entanto, podem acabar restringindo iniciativas inovadoras desnecessariamente.

O regime jurídico dos agentes de tratamento de pequeno porte passa a se diferenciar nos seguintes pontos:

·       Dispensa da figura do encarregado: Fica dispensada a indicação do encarregado pelo tratamento de dados pessoais, desde que exista um canal de comunicação que possa ser usado pelo titular dos dados (art. 11). Essa dispensa reduz o impacto da LGPD na organização interna da empresa, não sendo mais necessário ter um funcionário ou terceirizado para mediar a companhia, os titulares e o Estado;

·       Documentos simplificados: Entre esses documentos estão o registro das operações de tratamento de dados, que poderá seguir modelo oferecido pela própria ANPD (art. 9); e a declaração de existência ou acesso a dados pessoais (art. 15);

·       Política de Segurança da Informação Simplificada: as boas práticas de segurança da informação podem se tornar obrigações complexas para os agentes de tratamento de pequeno porte. Veja por exemplo que em geral se recomenda, na estratégia de backup e recuperação de desastres, a existência de pelo menos três cópias dos dados, armazenadas em duas mídias diferentes, sendo que essas mídias devem estar em locais físicos separados. Esse ponto pode ser mais simplificado em relação aos agentes de tratamento de pequeno porte, sem que se trate de violação à proteção de dados (arts. 12 e 13);

·       Prazos em dobro: reconhecendo a dificuldade em se adaptar e de participar de procedimentos administrativos, a resolução concede aos agentes de tratamento de pequeno porte prazo em dobro (art. 14) no atendimento de solicitações de titulares de dados, para comunicar a ocorrência de incidente de segurança, no fornecimento de declarações sobre os dados coletados e sobre o tratamento realizado, além do cumprimento de eventuais solicitações da ANPD.

Importante ressaltar que esses pontos de flexibilização não afastam a aplicação das demais regras da LGPD. Ou seja, para o que não foi simplificado na Resolução, continuam valendo as mesmas regras.

A flexibilização e a simplificação estimulam em grande medida a atividade dos agentes de tratamento de dados de pequeno porte, já que estabelecem uma compatibilidade entre a complexidade da operação desses agentes e a complexidade das normas que eles devem observar. Se a empresa ainda tem operações em menor escala, não se pode exigir dela uma estrutura cara e complexa de proteção de dados, sob pena de inviabilizar o negócio.

Porém, a Resolução traz dois pontos que podem prejudicar esse incentivo, especialmente no quesito inovação.

Tratamento de dados de alto risco

O primeiro ponto de preocupação são as hipóteses de exclusão do regime estabelecido na Resolução, que se dá, entre outros, nos casos em que os agentes realizem tratamento considerado de “alto risco” (art. 3º, I). Para definir o que será considerado tratamento de alto risco foram estabelecidos dois tipos de critérios, os gerais e os específicos. Um tratamento de alto risco atenderá, cumulativamente, a pelo menos um critério de cada categoria:

·       Critérios gerais:

o  Tratamento em larga escala, entendido tanto por abranger “número significativo” de titulares, “alto volume” de dados, duração, frequência e extensão geográfica do tratamento; ou

o  Tratamento que possa “afetar significativamente” os interesses e direitos fundamentais dos titulares, que se definiu como aquele que possa impedir o exercício de direitos ou a utilização de serviços, assim como que possa ocasionar danos materiais ou morais, discriminação, violação à integridade física, ao direito à imagem, à reputação, fraudes financeiras ou roubo de identidade;

·       Critérios específicos:

o  uso de tecnologias emergentes ou inovadoras;

o  vigilância ou controle de zonas acessíveis ao público;

o  Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aqueles voltados a definir perfil pessoal, profissional, de saúde, de consumo, de crédito ou outros aspectos da personalidade;

o  Utilização de dados pessoas sensíveis de crianças, adolescentes ou idosos.

Analisando os critérios gerais, fica claro que a Resolução recorre a conceitos abertos, como “número significativo”, “alto volume”, “afetar significativamente” e outros, para limitar o acesso ao regime diferenciado e simplificado para agentes de tratamento de pequeno porte. O risco aqui decorre da absoluta insegurança quanto aos parâmetros objetivos que serão levados em consideração pela ANPD ao fazer essa análise.

Sem esse direcionamento, os pequenos agentes de tratamento de dados não contam com segurança jurídica o suficiente para organizar suas políticas de adequação à LGPD, pois não sabem se serão enquadrados como agentes de tratamento de dados de pequeno porte ou não. Será indispensável, nessa etapa, contar com uma consultoria jurídica atenta a todas as possíveis nuances desses conceitos.

A análise dos critérios específicos dá ainda outras causas para alarme, especialmente na medida em que foram incluídos nessa categoria o uso de tecnologias emergentes e inovadoras, e ainda ao tratamento automatizado de dados, que pode recorrer à inteligência artificial, por exemplo. Ocorre que o uso dessas soluções inovadoras deveria, justamente, ser estimulado pela legislação. No sentido oposto, no entanto, é colocado como causa para exclusão do regime simplificado. Outra prática comum no mercado, que é responsável pelo melhor direcionamento de anúncios publicitários e favorece fornecedores e consumidores, é a de formação de perfis de consumo, que também passa a ser considerada componente do tratamento de alto risco. 

Ao articular esses critérios gerais e específicos, a Resolução estabelece incentivos completamente contraditórios e incompatíveis com as operações dos agentes de tratamento de pequeno porte.

Isso porque o tratamento somente será considerado de alto risco se cumular pelo menos um critério geral e outro específico. Ou seja, uma empresa tem que escolher se escala suas operações, tratando mais dados e obtendo mais informações necessárias à uma gestão mais eficiente, ou se trabalha com perfis direcionados de consumo, para recortar melhor seu público e aumentar sua taxa de conversões. Não pode fazer os dois, do contrário praticaria tratamento de alto risco, perderia as simplificações e flexibilizações previstas na Resolução, e seria obrigada a arcar com uma estrutura de proteção de dados e compliance com a LGPD que é, em absoluto, incompatível com seu porte.

Discricionaridade na exclusão do regime diferenciado

O segundo ponto de preocupação vem no art. 16 da Resolução, segundo o qual a ANPD poderá determinar o cumprimento de obrigações que sejam dispensadas ou flexibilizadas, considerando “as circunstâncias relevantes da situação”, o que fica exemplificado como sendo referentes à natureza ou volume das operações, bem como os riscos para os titulares.

Como se não fosse suficiente o uso dos termos abertos para configuração do critério geral para configuração do tratamento como de alto risco, novamente a Resolução lança mão desse recurso, nesse segundo ponto para criar uma hipótese discricionária de exclusão do regime diferenciado. Mais uma vez fica prejudicada a segurança jurídica dos agentes de tratamento de dados de pequeno porte.

Favorecendo a inovação de verdade

O que se enuncia como discurso em prol da inovação não sobrevive a medidas que reiteradamente apontam os empreendimentos inovadores como ameaças.

É muito certo que abusos devem ser endereçados, de forma a garantir a proteção dos dados dos titulares. Porém, é preciso também reconhecer que novas práticas do mercado, inclusive aquelas em larga escala, têm o propósito de endereçar mais especificamente as necessidades dos consumidores, e para isso lançam mão de um ativo até pouco tempo atrás inutilizado: os dados.

Qualquer abordagem que se pretenda a analisar o risco das operações de tratamento deve considerar, também, se os componentes desse risco estavam previamente descritos e se efetivamente existe prejuízo aos titulares de dados, para evitar restringir excessivamente os incentivos à inovação.