Em cumprimento ao Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte (ATPP), a Autoridade Nacional de Proteção de Dados (ANPD) publicou, na semana passada, o modelo de registro simplificado das operações de tratamento de dados pessoais para pequenas empresas.
O modelo contém apenas os campos considerados essenciais para que a Coordenação-Geral de Fiscalização da ANPD, caso necessite, receba desses agentes as informações básicas para o exercício das atividades fiscalizatórias.
A LGPD prevê a criação de orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e startups possam se adequar à lei. Isso porque a complexidade e especificidade das obrigações da lei pode necessitar, em algumas situações, de elevado investimento, podendo causar um impacto financeiro em agentes de tratamento de pequeno porte.
“Em relação ao registro em si, ele é bom porque facilita que essas empresas de pequeno porte cumpram a LGPD sem ser oneradas em demasia e não torna o cumprimento legal algo impossível para essas empresas. E também é bom para o titular porque mesmo quando seus dados são tratados por essas empresas de pequeno porte, os seus direitos fundamentais que estão previstos na LGPD continuam garantidos”, explica Marcelo Cárgano, advogado especialista em direito digital no escritório Abe Advogados
O regulamento não abarca empresas que fazem tratamentos de alto risco, lembra o advogado. “Empresas que façam tratamento automatizado de milhões de usuários ou que tratam dados pessoais sensíveis não podem se beneficiar porque o tratamento que elas fazem oferece alto risco aos cidadãos. Mas, de maneira geral, muitas empresas de pequeno porte, startups, por exemplo, ou microempresas, que não realizam tratamento de alto risco, vão poder se beneficiar desses procedimentos simplificados. Então, é uma boa notícia da ANPD para quem lida com dados pessoais”, afirma Marcelo Cárgano.
O documento traz oito campos de preenchimento, como: informações de contato da instituição; categorias de titulares de dados pessoais; dados pessoais; compartilhamento de dados; medidas de segurança; período de armazenamento dos dados pessoais; processo, finalidade e hipótese legal; e observações.
Nádia Cunha, coordenadora da área de Contratos e Compliance em Proteção de Dados, do escritório Jorge Advogados Associados, destaca a informação quanto ao compartilhamento de dados, que é uma das mais frequentes violações à lei.
“Embora conste o compartilhamento em políticas de muitas empresas, elas não especificam exatamente para onde esses dados vão e para qual finalidade, bem como vinculam o consentimento do titular ao aceite geral da política, sem permitir que haja discordância. O rastreamento é essencial para que os responsáveis por compartilhamentos indevidos sejam identificados e punidos, quando o caso, e esse registro é importante para que isso ocorra”, argumenta.
No campo de compartilhamento, a ANPD orienta as empresas a descrever o fluxo de compartilhamento para fora da organização e o nome dos terceiros, com quem os dados foram compartilhados e qual a finalidade do compartilhamento.
“Principalmente em se tratando de agentes de pequeno porte, orientações vindas do agente regulador, como a publicação deste modelo, é de grande valia e inclinam ao cumprimento da lei”, conclui a advogada.