A Autoridade Nacional de Proteção de Dados do Brasil – ANPD encontra-se em processo de definição da regulamentação das microempresas, empresas de pequeno porte e iniciativas empresariais que se autodeclarem startups ou empresas de inovação, no que diz respeito à proteção de dados pessoais.
Esta ação da ANPD constitui o exercício de uma de suas competências definidas na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), especificamente a concretização do disposto no art. 55-J, XVIII, que prevê a edição de normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para organizações empresariais da natureza daquelas acima mencionadas.
A disposição legal que prevê uma regulação diferenciada tem o fim de equilibrar a proteção de dados ao porte de cada organização e pretende apenas simplificar algumas exigências, sem, no entanto, enfraquecer ou reduzir o nível da proteção aos titulares dos dados. Uma preocupação já manifestada pelas entidades representativas destes setores diz respeito a dois pontos específicos – a obrigação de registro de todas as operações de tratamento de dados e a de ter, no seu corpo funcional, um Encarregado do Tratamento de Dados, o que poderia ensejar a canalização, para a adequação à LGPD, de recursos que seriam essenciais à própria subsistência da empresa.
Tendo a Lei brasileira sido inspirada no Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e considerando que a própria ANPD tem na experiência dos organismos europeus uma grande referência e mantém com eles ações de cooperação para formação e aprimoramento do seu corpo técnico, mostra-se oportuno registrar como a situação é tratada na União Europeia, em relação aos aspectos citados.
O Regulamento europeu dispensa as empresas com menos de 250 empregados da obrigação de manter registro das operações de tratamento de dados pessoais que realizam, exceto se o tratamento não for ocasional, isto é, se ele estiver relacionado à atividade principal da empresa, bem como se implicar risco para os direitos e liberdades dos titulares de dados ou se abranger categorias especiais de dados, como dados de saúde, biométricos, origem racial ou étnica, orientação sexual e outros.
Por “atividade principal da empresa” deve-se entender as operações essenciais para se alcançar os objetivos do controlador ou operador, assim como aquelas que são essencialmente vinculadas ao seu objeto social ou estatutário. Para exemplificar, as orientações do Comitê Europeu de Proteção de Dados citam o tratamento de dados de saúde como atividade principal de hospitais e clínicas médicas, assim como o tratamento de imagens de videovigilância como atividade principal de uma empresa de segurança. Por outro lado, o tratamento dos dados dos próprios colaboradores é uma atividade acessória numa organização.
No tocante ao Encarregado pelo Tratamento de Dados, no espaço europeu as pequenas e médias empresas devem nomear este profissional quando as atividades de tratamento de dados consistam em operações que, devido à sua natureza, contexto e/ou finalidade, exijam um controle regular e sistemático dos titulares dos dados em grande escala, ou quando realize operações de tratamento, em grande escala, de dados sensíveis.
O critério de “larga escala” devem-se considerar fatores como o volume de dados, a duração da atividade de tratamento, o âmbito geográfico em que é realizado, dentre outros.
Importa ressaltar que, mesmo com eventual simplificação das exigências para as micro e pequenas empresas e startups, elas deverão cumprir a regulação brasileira de proteção de dados. Deste modo, ainda que sejam desobrigadas de instituir um Encarregado de Dados nos termos da LGPD, é do interesse das organizações designar alguém para controlar a atividade de tratamento de dados, como forma de reduzir a probabilidade de realizar atividades de tratamento em desconformidade com a Lei, colocando os titulares em risco, bem como para conseguir atender aos direitos dos titulares dos dados.
O mesmo se pode afirmar quanto ao registro das operações de tratamento de dados. Ainda que desobrigadas de guardar tais informações, é de seu interesse o fazer relativamente aos aspectos mais importantes das operações, como natureza dos dados tratados, base legal utilizada, finalidade, para que possam cumprir a sua obrigação de prestação de contas, quando assim lhes for exigido, seja em função de fiscalização da ANPD, ou de reclamação dos titulares dos dados.
Portanto, devem se preparar desde já e adotar com cautela e responsabilidade a simplificação de procedimentos que está por vir, porquanto a sua implementação não poderá representar elevação do risco para os titulares dos dados.