Foi publicado hoje (28/01/2022), no Diário Oficial da União, na data em que se comemora o Dia Internacional da Proteção de Dados, a resolução CD/ANPD nº 2, da Autoridade Nacional de Proteção de Dados que visa flexibilizar processos internos de adequação e governança de dados para agentes de tratamento de pequeno porte.
A novidade, certamente, uma das mais aguardadas em torno dos pontos previstos na Lei e que dependiam da manifestação da Autoridade Nacional, não dispensam a adoção de pontos que poderiam trazer o implemento de obrigações desmedidas, a considerar a real capacidade de investimentos em critérios técnicos e legais, por parte das empresas beneficiadas.
Quase a totalidade dos pontos não traz aspectos que isentam os agentes de tratamento de pequeno porte, com exceção, da nomeação de um encarregado de proteção de dados (DPO), mas, o novo regulamento cria mecanismos que facilitam a implementação de controles em torno da coleta dos dados, o registro do tratamento de operações, e, a forma como os incidentes devem ser reportados, sem deixar de mencionar, que, considerando as exíguas capacidades de operação tecnológica e seus processos, os prazos previstos para o atendimento as solicitações dos titulares de dados e as comunicações a ANPD, por parte dos agentes favorecidos, passam a ser tratados de forma diferenciada, com lapso temporal concedido em dobro.
Vale destacar os pontos abordados na resolução:
Art. 9º: Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constantes do art. 37 da LGPD, de forma simplificada.
Parágrafo único: A ANPD fornecerá modelo para o registro simplificado de que trata o caput.
Mas, atenção, “podem” cumprir não significa que a empresa beneficiada possa escolher entre executar ou não a exigência de registro de operações, mas faculta entre o modelo simplificado, ou, o mais detalhado e complexo.
Art. 10: A ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação de incidentes de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica.
Art. 11: Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigidos no art. 41 da LGPD.
Art. 12: Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para a proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
Art. 13: Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Novamente, atenção ao “podem”, pois tem a empresa alcançada pela resolução o poder de facultar entre o modelo tradicional ou o simplificado, mas, não a dispensa da adoção de critérios de segurança previsto em frameworksconsagrados, como a ISO 27001 e 27002.
Art. 14: Aos agentes de tratamento de pequeno porte será concedido prazo em dobro:
I – no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
II – na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
III – no fornecimento de declaração clara e completa.
Os novos contornos, sobre a temática, beneficiam milhares de pequenos negócios, como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, e, que, neste cenário, passam a investir seus recursos no desenvolvimento de suas próprias atividades fins, bem como criando e gerando empregos.Por fim, a nova resolução apresenta segurança jurídica e técnica para os agentes de tratamento de pequeno porte, que se viam na obrigação do cumprimento da Lei, mas sem reservas financeiras para tal.