Começamos o ano com uma notícia de grande impacto: a Autoridade Nacional de Proteção de Dados determinou, por meio da Resolução CD ANPD n. 2/2022, que agentes de tratamento de pequeno porte não terão como obrigação a nomeação de um encarregado, como previa o artigo 5º, VIII e 41 da Lei Geral de Proteção de Dados Pessoais, salvo algumas exceções.
Primeiramente cabe relembrar o que são agentes de tratamento (art. 5º, IX). De acordo com a LGPD, serão agentes de tratamento controladores e operadores de dados pessoais, de forma que os primeiros podem ser explicados como aqueles que “mandam” e os segundos aqueles que “obedecem”.
Sua categorização como um ou outro dependerá das operações de tratamento realizadas, sendo possível que em algumas operações de uma organização ela seja controladora de dados, como durante a realização de um processo seletivo e, ao mesmo tempo, seja operadora de dados, como no desempenho de sua função que poderia ser o armazenamento de dados pessoais em nuvem para terceiros.
Na prática, a diferenciação é fundamental quando há a celebração de um contrato entre diferentes empresas envolvendo tratamento de dados pessoais. Em tal momento, caberá a delimitação de responsabilidade entre os agentes e a apresentação das orientações a serem seguidas pelo operador, que deverá responder apenas às decisões tomadas pelo controlador. Caso contrário, este operador passa a ser responsabilizado solidariamente pelos danos causados pelo tratamento, assim como ocorre ao descumprir a legislação sobre proteção de dados pessoais (art. 42, parágrafo 1º, I).
Já o encarregado será a pessoa natural ou jurídica indicada pelos agentes de tratamento a atuar como canal de comunicação entre titulares, agente e ANPD. Vale mencionar que na definição do art. 5º, VIII, a LGPD dispõe que tanto o controlador como o operador indicarão o encarregado, diferentemente de redação anterior que mencionava apenas o controlador. Todavia, o art. 41 impõe ao controlador a indicação do encarregado, sem mencionar o operador.
Em realidade, como vimos acima, as organizações podem atuar tanto como operadoras ou controladoras a depender da operação de tratamento analisada. Por esse motivo, entendemos que sequer cabe neste artigo a discussão sobre a necessidade de indicação de um encarregado por um agente operador, diante da possibilidade de tal agente também ser controlador.
Ao encarregado, serão impostas diversas funções, como facilitar comunicação entre o controlador, os titulares e a ANPD; aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares etc.
Diferentemente da figura do Data Protection Officer, comumente chamado de DPO, do Regulamento Geral sobre Proteção de Dados da União Europeia, a LGPD não previu o grau hierárquico do encarregado, de modo que há flexibilidade para sua alocação. Apesar disso, grande parte das corporações no Brasil tem seguido a diretriz europeia como medida de boas-práticas de forma que encarregado se reporta diretamente ao nível gerencial mais alto, sem receber orientações sobre suas tarefas (art. 38, 3, do GDPR).
Ainda, vale lembrar que a LGPD dispõe em seu art. 55-J, XVIII a função da ANPD de “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à lei”.
Postos estes conceitos e considerações, retornamos à notícia que movimentou o final de janeiro de 2022. No ano passado, a ANPD já havia mostrado sua preocupação com agentes de pequeno porte ao publicar um guia para auxiliar a implementação de medidas de segurança da informação. Dia 28 de janeiro de 2022, foi publicada no Diário Oficial da União a Resolução CD ANPD n. 2/2022, que entre outras medidas determinou a facultatividade da nomeação de um encarregado para agentes de tratamento de pequeno porte.
Tais agentes seriam “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador” nos termos do art. 2º, I da Resolução.
No entanto, ainda que o agente de tratamento esteja enquadrado em uma das definições de pequeno porte, existem exceções para que os benefícios trazidos pela Resolução sejam aplicáveis. Assim, quando há tratamento de dados pessoais envolvendo alto risco aos titulares ou auferimento de determinado valor em receita (limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021), os agentes de pequeno porte não poderão gozar dos benefícios como a dispensa do encarregado.
Mas em quais situações isso se aplica?
Como a definição de tratamento envolvendo alto risco não está definida na LGPD, a Resolução também contribuiu para estabelecer os parâmetros que devem ser observados, como a existência de pelo menos um critério geral e um específico. Os critérios gerais são (i) tratamento de dados pessoais em larga escala; e (ii) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Pela generalidade de tais critérios, a Resolução dispõe algumas orientações para sua interpretação. Larga escala deverá ser considerada a depender do caso concreto, sendo analisado o número de titulares, o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado, nos termos previstos. Os tratamentos que possam afetar significativamente interesses e direitos fundamentais dos titulares serão aqueles em que a operação puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares (ex. discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).
Já os critérios específicos são (i) uso de tecnologias emergentes ou inovadoras, como um aplicativo que trate dados de forma inovadora; (ii) vigilância ou controle de zonas acessíveis ao público, como monitoramento em metrôs de São Paulo; (iii) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, como a definição de perfis de consumo e comportamento do consumidor por algoritmos sofisticados; e (iv) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Portanto, aqueles agentes de pequeno porte que não tratarem dados pessoais conforme as exceções acima mencionadas poderão optar pela nomeação do encarregado. Contudo, a própria Resolução incentiva a sua nomeação como uma boa-prática e governança da organização, o que provavelmente será considerado em algum momento, como em uma autuação por incidentes de segurança.
Por fim, a Resolução também é clara ao dispor em seu art. 6º que a dispensa ou flexibilização das obrigações não isenta os agentes do cumprimento dos demais dispositivos da LGPD, como a utilização correta das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares. Como consequência, a transparência e a comunicação com os titulares são fundamentais. Por esse motivo, a Resolução reforça a obrigação de o agente de pequeno porte que não indicar um encarregado ter um canal de comunicação para atender uma das funções previstas na LGPD (art. 41, parágrafo 2º, I).
____________________