Notícias

Notícia

A Autoridade Nacional de Proteção de Dados (ANPD) deu início, em 30 de agosto

A iniciativa faz parte da agenda relatoria 2021-2022 da ANPD, que elencou nesse período de dois anos os principais temas a serem discutidos e alvo de consultas públicas e de tomadas de subsídios por parte da Autoridade.

A Autoridade Nacional de Proteção de Dados (ANPD) deu início, em 30 de agosto, à discussão sobre a flexibilização da LGPD para os chamados “agentes de tratamento de pequeno porte”, ao publicar a minuta da futura resolução que regulamentará o tema.

A iniciativa faz parte da agenda relatoria 2021-2022 da ANPD, que elencou nesse período de dois anos os principais temas a serem discutidos e alvo de consultas públicas e de tomadas de subsídios por parte da Autoridade. Com isso, será auxiliada na interpretação da lei e nas boas práticas educacionais relativas à privacidade e proteção de dados pessoais.

A consulta à minuta pública estará disponível para contribuições até 29 de setembro.

Na minuta de resolução da consulta realizada, a ANPD incluiu em seu art. 2º, II, as pessoas jurídicas sem fins lucrativos – associações, fundações, organizações religiosas e partidos políticos – no rol de “agentes de tratamento de pequeno porte”, juntamente com microempresas, empresas de pequeno porte e startups.

Ao promover a inclusão das organizações do Terceiro Setor neste rol, a Agência demonstra sua preocupação em dialogar com os diferentes grupos e considerar as realidades de cada tipo de setor e organização, apresentando assim a possibilidade de adoção de procedimentos simplificados e diferenciados, levando em conta suas peculiaridades e facilitando a conformidade desse grupo com a LGPD. Desta forma, contribui ainda mais para a disseminação da cultura de privacidade e proteção de dados no Brasil.

As principais vantagens da flexibilização e dispensa de obrigações previstas na LGPD contidas na minuta são os prazos diferenciados para atendimento ao titular; as regras diferenciadas sobre a aplicação de alguns dos direitos dos titulares de dados; a simplificação do Relatório de Impacto à Proteção de Dados (RIPD) e Política de Segurança da Informação (PSI) e a dispensa na nomeação de um Encarregado de Proteção de Dados (DPO). Outros pontos ainda poderão ser regulamentados futuramente, mesmo após a finalização desta resolução, como o prazo e a forma de comunicação de incidentes de proteção de dados pessoais perante a Autoridade e os titulares.

Apesar de simplificar e flexibilizar alguns pontos, a ANPD em nenhum momento torna essas organizações, listadas no art. 2º, dispensadas ou isentas de cumprir as determinações contidas na LGPD e deixa expresso que a minuta da resolução submetida à consulta pública visa garantir os direitos dos titulares de dados, ao mesmo tempo que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados.

A flexibilização de algumas exigências, a simplificação na produção de alguns documentos e a concessão de prazo em dobro para a resposta aos titulares e aos órgãos fiscalizadores não são benefícios concedidos a todas as organizações sociais que compõem o Terceiro Setor, mas somente àquelas que estejam enquadradas como “agentes de tratamento de pequeno porte”.

São requisitos cumulativos para o futuro enquadramento da organização como agente de tratamento de pequeno porte ser uma microempresa, empresa de pequeno porte, startup ou pessoa jurídica sem fins lucrativos; não realizar tratamento de dados sensíveis, que é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, conforme o art. 5º, inciso II, da LGPD; ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos; não realizar tratamento automatizado de dados pessoais capaz de afetar titulares em larga escala; não utilizar tecnologias de vigilância ou controle de zonas acessíveis ao público em larga escala e não utilizar novas tecnologias em larga escala, que possam ocasionar danos.

No art. 3º da minuta, a ANPD traz algumas exceções, entre elas o inciso I do § 1°, no qual descreve que à concessão dos benefícios de dispensa e flexibilização não serão aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, conceituado no § 1º do mesmo artigo, o tratamento de alto risco para os titulares aquele que envolva dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos (art. 3º, § 1º, I).

O Terceiro Setor é composto por instituições privadas que atuam em áreas de interesse social, sem visar lucro, como associações e fundações. Essas entidades são organizações da sociedade civil (OSCs), que atendem à população por meio de parceiras com o poder público para a execução de atividades em diversas áreas, como saúde, educação, assistência social, cultura, meio ambiente, esporte e pesquisa científica.

Dessa forma, tem-se no mesmo documento que flexibiliza algumas obrigações, prazos e exigências da LGPD para as organizações do Terceiro Setor, a ANPD retira o benefício das entidades que tratam dados sensíveis relativos à saúde, a grupos vulneráveis, a idosos e crianças e adolescentes, estando, portanto, excluídas das vantagens previstas na minuta a maioria das organizações sem fins lucrativos que atuam no território brasileiro.

Isto porque, para atingirem seu objetivo social, suas receitas são provenientes de termos de colaboração ou de contratos de gestão firmados com o poder público e estão vinculadas à execução de políticas públicas e ações relacionadas a projetos sociais e socioassistenciais, por meio da atuação efetiva no cuidado de pacientes de unidades de saúde e hospitais administrados por essas organizações, em defesa dos interesses de grupos vulneráveis, como testemunhas ameaçadas, idosos, crianças, adolescentes e demais pessoas em situação de risco.

A mesma exclusão ocorre com as organizações religiosas, visto que essas entidades realizam o tratamento de dados pessoais sensíveis, relativos à convicção religiosa.

Nesse sentido, assim como microempresas, empresas de pequeno porte e startups, que terão um tratamento mais flexível e diferenciado pela ANPD quanto ao cumprimento da LGPD, é imprescindível que o Terceiro Setor também tenha uma agenda própria e seja o protagonista de uma tomada de subsídios específica da Agência Nacional, possibilitando uma discussão conjunta para a criação de uma norma complementar e específica que leve em consideração as peculiaridades e a atuação deste setor.

O Terceiro Setor, em sua atuação social, muitas vezes trata dados sensíveis relativos à saúde e aos direitos de crianças, adolescentes e demais agentes de direito em situações de vulnerabilidades, processo necessário para o cumprimento de seu objetivo social e para a garantia de sua manutenção, o que não foi considerado no texto desta minuta.

Portanto, é imprescindível uma atenção maior da ANPD às demandas do Terceiro Setor, para que seja viável o cumprimento não só dos direitos e das liberdades individuais dos titulares dos dados, mas também do pleno funcionamento das organizações socias, considerando suas peculiaridades e a história de conquistas das entidades.

A forte interlocução da ANPD com diversos setores, públicos, privados e Terceiro Setor tem se mostrado um componente importante para a disseminação da cultura da privacidade e proteção de dados no Brasil.

A Autoridade se mostra aberta para fomentar o diálogo e construir regulamentações em diversos setores, sendo este, portanto, o momento ideal para as organizações representativas do Terceiro Setor procederem com essa movimentação diante da ANPD, para que seja feita uma tomada de subsídios específicos que contribua de forma relevante para a elaboração dessa regulamentação.

Por fim, cumpre ressaltar que mesmo as empresas ou organizações do Terceiro Setor que se enquadrarem nessa resolução estarão sujeitas às penalidades administrativas, judiciais e reputacionais previstas na lei e não deixarão de ser responsabilizadas pela utilização irregular de dados pessoais em suas atividades.

Além disso, continuam obrigadas a realizar o tratamento de dados de acordo com os princípios expressos na LGPD, limitadas às hipóteses de tratamento do art. 7º, e a demostrem sempre que solicitadas – seja pela ANPD, pelo Senacon, Ministério Público ou Poder Judiciário – as medidas de segurança e governança corporativa adotadas para a proteção dos dados pessoais tratados.

Conhecer bem o impacto da norma e contar com o suporte de uma consultoria especializada na implementação e gestão do Plano de Privacidade e Proteção de Dados para conformidade com a LGPD, sempre será indispensável para o crescimento sustentável, eficiente e correto de qualquer organização.