skip to Main Content
Menu
Imagem Para O Site (8) – ASPR

Gestão Em Dia nº 08 – março/2022 – LGPD E A RESOLUÇÃO CD/ANPD 02/2022

No dia 17/03, quinta-feira,  às  20h00, a Plataforma  CADE MEU DADO”?, em conjunto com a Comunidade ABC Valley   e com o apoio da Comissão de  Startups da OAB Subseção de Santo André  e da ASPR,  convidam você para participar da apresentação de dois Cases sobre a importância da Lei Geral de Proteção de Dados – LGPD, para a Pequena e Média Empresa.

Serão apresentados a implementação da LGDP na ASPR por mim e a da Prefeitura de Santo André, pela Dra. Paula Roberta, Presidente da Comissão de Startups da OAB Subseção Santo André.

O evento será mediado pelo advogado, consultor empresarial e sócio da Plataforma “Cadê meu dado?”, Dr. Marcus Maida

Lançada em 2022 e pioneira no Brasil, a plataforma atua para a ampla divulgação da importância da proteção de dados pessoais na sociedade brasileira. A plataforma conta com artigos, nacionais e internacionais, notícias sobre as principais ocorrências e um sistema de consulta de vazamento pessoais gratuito,  que pode ser acessado por meio do site www.cademeudado.com.br.

Considerando a temática e o propósito do evento e por ser bem oportuno, reproduzimos na íntegra artigo de autoria do advogado Dr. Igor Muraro, especialista em LGPD, quanto a referida Resolução do Conselho Diretor da ANPD, no qual ele traz importante contribuição às pequenas e médias empresas, em especial às startups.

“Pelos critérios e condições apresentadas pela Resolução CD/ANPD nº 02/2022, fica a dúvida se todas as startups se beneficiarão do regime simplificado para adequação à LGPD

No último dia 27 de janeiro, a Autoridade Nacional de Proteção de Dados (ANPD), por meio do seu Conselho Diretor, publicou a Resolução nº 02/2022, aprovando o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.

Em razão dos custos envolvendo os processos de adequação, desde o início da vigência da LGPD diversas empresas apresentaram preocupação sobre o tema, tendo em vista que a lei não faz qualquer distinção entre porte de empresas para fins de sua aplicação, apenas prevendo a competência da ANPD para editar normas sobre procedimentos simplificados para estes agentes de tratamento (art. 55-J, XVIII, da LGPD).

Diante disso, visando fomentar a cultura de proteção de dados e trazer mais equilíbrio entre as regras constantes na LGPD e o porte das empresas, em 30 de agosto de 2021 a ANPD apresentou uma primeira minuta de resolução que, após a sua submissão ao debate público, resultou na Resolução CD/ANPD nº 02/2022.

Apesar de esta resolução não limitar o conceito de agentes de tratamento de pequeno porte às startups, para este breve artigo, vamos nos restringir a este perfil de empresa frente ao regime simplificado para adequação à LGPD apresentada pela ANPD há algumas semanas. E a pergunta que fica é: será que todas as startups poderão se beneficiar da Resolução CD/ANPD nº 02/2022? A resposta: não!

O primeiro ponto que merece destaque é que a Resolução CD/ANPD nº 02/2022 adota o conceito de startup previsto na Lei Complementar nº 182/2021 (Marco Legal das Startups). Embora a adoção deste conceito de startup pela ANPD ter sido mais do que acertado, principalmente para trazer segurança jurídica ao sistema, fato é que poucas empresas adotaram as medidas necessárias para que sejam legalmente reconhecidas como startups, quais sejam: (i) declaração em seu ato constitutivo ou alterador; ou (ii) enquadramento no Inova Simples.

Porém, ainda que muitas startups não possam se enquadrar no conceito previsto no Marco Legal das Startups, diversas delas conseguirão contornar esta situação, pois também são microempresas e empresas de pequeno porte, nos termos da Lei complementar 123/2006.

Outro ponto que merece atenção pelas startups, é verificar se a atividade por elas desenvolvidas pode ser considerada como um tratamento de alto risco. Pela Resolução CD/ANPD nº 02/2022, o tratamento será considerado de alto risco quando atender cumulativamente a pelo menos um critério geral e um critério específico.

E, pelos critérios, tanto gerais como específicos, previstos na resolução, algumas startups terão dificuldade para demonstrar que fazem jus a este regime simplificado.

Sobre os critérios gerais, a primeira dificuldade reside na ausência de critérios objetivos para se quantificar e determinar quanto um tratamento de dados pessoais poderá ser considerado de larga escala ou que afete interesses e direitos fundamentais dos titulares. Diante disso, para afastarem estas características do tratamento de dados realizado, as startups precisão adotar parâmetros comparativos que, ainda, não sabemos se convergirão com o entendimento da ANPD.

Sobre os critérios específicos, três deles devem ser analisados com cuidado pelas startups, quais sejam: (i) uso de tecnologias emergentes ou inovadoras; (ii) decisão tomadas unicamente com base em tratamento automatizado de dados; e (iii) dados pessoais sensíveis.

Com relação aos dois primeiros critérios específicos, resta claro que eles são inerentes à atividade de qualquer startup, cuja atuação se caracteriza pela inovação aplicada a modelo de negócio ou a produtos ou serviços ofertados, permitindo a sua escalabilidade.

Aliás, pelo próprio conceito de inovação previsto no art. 2º, IV, da Lei federal nº 10.973/2004, considera-se como inovação a introdução de novidade ou aperfeiçoamento no ambiente produtivo e social que resulte em novos produtos, serviços ou que agregue novas funcionalidades ou características que resulte em melhorias e ganho de qualidade. O que é o escopo das startups.

Acerca dos dados sensíveis, apenas um ponto que merece atenção é que, muitas vezes, apesar de um determinado dado poder ser inicialmente classificado apenas como pessoal, isso não quer dizer que, ao longo do seu tratamento, ele não possa mudar de categoria. É dizer, referida classificação não é estanque, pois o tratamento conjunto de dados pode resultar na transmudação de sua espécie, de modo que um dado inicialmente apenas pessoal, vir a se tornar um dado sensível.

Por fim, uma questão que, na prática, poderá afastar muitas startups da adoção do regime simplificado, previsto na Resolução CD/ANPD 02/2022, são as exigências feitas por seus clientes e fundos de investimento, com relação a sua adequação à LGPD. Com feito, para aquelas startups que já estão mais desenvolvidas, em uma fase de scale up, os seus clientes e investidores exigem que o seu processo de adequação à LGPD não seja feito de forma simplificada, como previsto na resolução em comento.

E isso, em razão de estes já adotarem este parâmetro internamente, principalmente em multinacionais que já abordam a questão de proteção de dados há mais tempo, ou, mesmo, porque o departamento jurídico destes clientes ou fundos poderá não concordar com o enquadramento da startup como agente de tratamento de pequeno porte.

Assim, não se questiona os benefícios que a Resolução CD/ANPD nº 02/2022 trouxe para a adequação de agentes de tratamento de pequeno porte à LGPD. Porém, diversos pontos de atenção devem ser considerados pelas startups, quando forem decidir se irão ou não optar por este regime simplificado”. 

As questões acima apresentadas pelo Dr. Igor e várias outras dos dois Cases, serão apresentadas e debatidas no evento, no qual se espera comunicar e colaborar as pequenas e médias empresas e as startups, em suas implementações da LGPD, observando em sua plenitude a Resolução CD/LGPD – 02/2022.

Inscreva-se: https://www.sympla.com.br/evento-online/lgpd-para-pequenas-e-medias-empresas/1505395

Ary Silveira Bueno
Fundador e Diretor da ASPR

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Back To Top