No entanto, quem compreende o regime jurídico da proteção de dados sabe não se tratar de nenhuma novidade; ao contrário, representa uma ligeira especificação dos mecanismos em que o regime da proteção de dados se assenta.

A Resolução não se aplica a todos os agentes de pequeno porte e não representa diminuição do grau de proteção do direito fundamental à proteção de dados dos titulares.

Ela flexibiliza algumas regras da LGPD para aqueles agentes, como, por exemplo, a sua desobrigação de indicar um Encarregado do Tratamento de Dados - ou seja, a pessoa responsável pela implementação da cultura da proteção de dados na organização, por receber e atender as demandas dos titulares de dados, bem como responder às notificações da ANPD - devendo, entretanto, instituir um canal de comunicação com os titulares dos dados. 

A manutenção dos registros das operações de tratamento de dados poderá ser feita de modo simplificado, assim como poderão os agentes de pequeno porte estabelecer política simplificada de segurança da informação e deverão contar com um procedimento também simplificado para a comunicação, à ANPD, dos incidentes de segurança de dados.

As medidas técnicas e administrativas, essenciais e necessárias, deverão atender a requisitos mínimos de proteção dos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Estas medidas constituem aplicação do mecanismo da “abordagem baseada no risco”, que é o meio operacional de um dos princípios da LGPD, o da responsabilização e prestação de contas (accountability). 

Seja qual for o porte da organização, as medidas a serem implementadas para proteger os dados pessoais sob sua custódia devem ser moduladas à sua realidade, ou seja, devem levar em consideração o grau de risco da atividade, o seu contexto, alcance, categorias e natureza dos dados envolvidos, o volume de dados tratados, o número de titulares, assim como a realidade do agente de tratamento de dados e os custos de implementação das medidas.

Esta é a perspectiva da LGPD, refletida na Resolução. O foco do agente de tratamento deve ser o de conferir o maior grau de proteção aos dados e muitas medidas eficazes são simples, de caráter organizacional, de baixo custo.

Quanto maior o grau de transparência no tratamento dos dados, maior a percepção da boa fé na implementação das medidas.

É crucial para a organização empreender ações para compreender o regime da proteção de dados e repensar a atividade, a partir desta perspectiva, providenciando a conscientização dos colaboradores e o seu treinamento, inclusive sobre suas responsabilidades.

A flexibilização da Resolução recai sobre aspectos procedimentais e instrumentais, mas não sobre os resultados a serem alcançados. 

Através de instrumentos e procedimentos mais simplificados, devem os agentes de tratamento de pequeno porte assegurar aos titulares dos dados o mesmo grau de proteção resguardado pela Lei. 

A opção por não utilizar os instrumentos postos na LGPD significa a decisão de substituí-los por outros que, embora de implementação mais simples, assegurem o grau de proteção a que o titular dos dados faz jus.

Daí dispor a Resolução que as medidas a serem implementadas pelos agentes de pequeno porte devem considerar o nível de risco à privacidade dos titulares de dados e a estrutura, escala e volume das suas operações.

Ao apresentar a Resolução ao público, a ANPD ressaltou: “o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas."