A Autoridade Nacional de Proteção de Dados (ANPD) publicou no final de janeiro deste ano o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte. O objetivo da iniciativa é facilitar a adaptação e adequação às normas da regulamentação sobre proteção de dados pessoais.
De acordo com a ANPD, o regulamento passou por diversas etapas de participação e contribuição da sociedade, bem como, Tomada de Subsídios, Consulta Pública e Audiência Pública. A ideia é garantir os direitos dos titulares de dados, ao mesmo tempo que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados.
Na visão de Cristina Sleiman, DPO e especialista em direito digital, em geral, as empresas de pequeno porte ainda não entenderam o impacto da LGPD nos seus negócios. Em entrevista à Security Report, Cristina esclarece os pontos desse regulamento e destaca também a importância de disseminar essas informações para que os agentes de tratamento possam ser inseridos no contexto de proteção de dados.
Security Report: Na prática, o que significa o novo regulamento? O mercado já entendeu essa nova diretriz?
Cristina Sleiman: Estamos falando da Resolução n. 2 da ANPD. Ela regulamenta a aplicação da LGPD para agentes de pequeno porte, trazendo algumas flexibilizações. Mas vejo que, em geral, as empresas de pequeno porte não entenderam o impacto da LGPD e, consequentemente, não se atentam nem sequer para a existência de uma resolução específica que lhes favorece.
Security Report: Ou seja, é um regulamento que tem como objetivo facilitar o processo de adequação de acordo com a realidade do agente de pequeno porte?
Cristina Sleiman: Entendo que ele foi criado para facilitar, considerando que o próprio processo de adequação não é barato, tão pouco contratar um profissional especializado e nomeá-lo como DPO. A resolução permite que esses agentes se utilizem de registro simplificado, cujo modelo ainda será disponibilizado pela ANPD. Portanto, a flexibilização aproxima a LGPD da realidade do agente de pequeno porte, de forma que ele possa tomar as devidas providências de adequação.
Security Report: Mas essa flexibilização não exime das demais obrigações da LGPD, certo?
Cristina Sleiman: Correto. Apesar da Resolução flexibilizar em alguns pontos, é importante ressaltar que não exime das demais obrigações da LGPD, reforçando a legitimação do tratamento e atendimento dos princípios elencados na lei, sendo que os principais pontos a serem observados em relação à Resolução são:
1.Devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, seja de forma impressa ou digital;
2.Poderão organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
3.Permanece a exigência dos registros das atividades, mas poderá ser de forma simplificada;
4.A flexibilização em relação a comunicar incidentes, poderá ser flexibilizada em regramento à parte ou ser disponibilizado um procedimento específico;
5.Não há obrigação de nomear um DPO, sendo facultativos aos agentes de pequeno porte, no entanto aquele que optar por não o contratar, não está eximido de sua responsabilidade em disponibilizar um canal de comunicação com o titular de dados. Ressalta-se que as empresas que puderem contratar, será de grande valia, uma vez que a ANPD poderá considerar para fins de política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD;
6.Permanece o dever de adotar medidas técnicas e administrativas aptas a proteger os dados pessoais, no entanto, possibilita que se tenha como base requisitos mínimos de Segurança da Informação para proteção dos dados pessoais;
7.A Política de Segurança da Informação poderá ser simplificada, no entanto deve contemplar requisitos essenciais e necessários para o tratamento de dados pessoais, de forma a protegê-los;
8.Por fim há prazos diferenciados.
Security Report: Caso haja vazamento de dados sob a responsabilidade de um agente de tratamento de pequeno porte, como o incidente deverá ser conduzido? A ANPD e clientes deverão ser avisados?
Cristina Sleiman: Todo incidente deve ser tratado com muita precaução, mesmo para esses agentes é importante seguir orientações de um especialista. A comunicação à ANPD continua vigorando, no entanto, poderá ser simplificada. O mesmo procede em relação aos titulares, atentando-se sempre sobre a incidência do risco relevante aos direitos fundamentais do titular.
Security Report: Haverá multas para os agentes de tratamento em caso de vazamento de dados?
Cristina Sleiman: Há princípio, a resolução não trouxe alterações sob a ótica de multas, portanto, a multa pode ser aplicada de acordo com o art. 52 da LGPD, ou seja, 2% do faturamento do ano anterior, mas obviamente considerando o porte financeiro da empresa.
Security Report: Quais são os principais GAPs nesse processo de adequação?
Cristina Sleiman: Em muitos casos nos quais tive contato com agentes de pequeno porte, pude constatar a falta de preparo. Acho que o desconhecimento do assunto é geral, alguns sabem da existência da lei, mas não entendem seu impacto e acham que ela se aplica apenas às empresas de redes sociais. Percebo que ainda não é comum que pequenas lojas, clínicas e profissionais autônomos, por exemplo, estejam em conformidade com a LGPD.
Outro ponto, é que, mesmo naquelas empresas com mais maturidade e me refiro a qualquer porte, é comum acharem que uma cláusula genérica indicando comprometimento com a LGPD seja suficiente. Ledo engano, a Lei regulamenta e o contrato detalha as regras e obrigações entre as partes.
Security Report: Você acredita que serviços terceirizados de DPO podem facilitar os agentes de tratamento de pequeno porte nesse processo de adequação?
Cristina Sleiman: Com certeza, afinal um profissional especializado nessa função pode orientar o passo a passo para adequação e manutenção da maturidade alcançada. No entanto, estamos falando de empresas de diversos portes financeiros, dentro do enquadramento legal e nem todas podem pagar um DPO.
Aquela que pode, recomendo que o contrate, pois é o cenário mais seguro considerando a complexidade da matéria, além de ser uma forma de mitigar riscos. Para aquelas que não podem pagar um serviço terceirizado, recomendo uma consultoria pontual para orientação emergencial ou demandas específicas.
Security Report: O assunto ainda é novo e certamente gera muitas dúvidas. Mas na sua visão, essas ações fazem parte da jornada de conformidade e comprometimento com a proteção de dados no Brasil?
Cristina Sleiman: Deixo a mensagem de que a LGPD é um desafio para todos, mas devemos lembrar que se trata de um regramento que nivela o tratamento de dados de forma geral, atentando-se à proteção de direitos fundamentais do titular. O assunto é tão importante que em fevereiro deste ano foi sancionada emenda constitucional para inserir no rol dos direitos fundamentais, também a proteção de dados pessoais.
Deixo também dicas que poderão ajudar nesse processo:
1.Quando possível, contrate um DPO;
2.Levante os dados de sua empresa;
3.Indique as finalidades e identifique as bases legais que permitem esse tratamento. Fique atento, pois um mesmo dado pode ser tratado para finalidades diferentes e cada uma delas deve ser legitimada através de uma das bases dos arts. 7º (dados pessoais) e 11º (dados pessoais sensíveis);
4.Atualize seus contratos com fornecedores;
5.Produza uma Política de Privacidade e não esqueça de informar os direitos dos titulares;
6.Crie um canal de comunicação específica para requisição dos titulares;
7.Todo cadastro de cliente deve conter informações sobre o tratamento dos dados pessoais. Quando feito pela internet, a maneira mais fácil é vinculá-lo à Política de Privacidade;
8.Sensibilize seus profissionais, ainda que seja uma empresa com poucos colaboradores;
9.Contrate um profissional para verificar e implementar controles de Segurança da Informação.
