Normas da ANPD podem enfraquecer a proteção de dados

Sete considerações sobre a Lei Geral de Proteção de Dados foram encaminhadas pela Data Privacy Brasil à ANPD.
LGPD - Crédito: Freepik
LGPD – Crédito: Freepik

A Data Privacy Brasil enviou à Autoridade Nacional de Proteção de Dados (ANPD) sete propostas em contribuição à consulta pública sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), nº 13.709/18, em pequenos negócios. As propostas, que merecem maior cuidado e aprofundamento, são: tratamento de alto risco, obrigações de registro, relatório de impacto, indicação de encarregado, segurança da informação, prazos e direitos dos titulares.

No documento, a entidade aborda a flexibilização das obrigações da LGPD e faz um alerta para algumas normas da ANPD, como registros de atividades de tratamento e relatórios de impacto, que podem enfraquecer a proteção de dados.

“A minuta proposta pela ANPD tem um grande acerto, que é flexibilizar as obrigações da LGPD, tendo como base não só o porte econômico do agente de tratamento, mas também o risco das atividades que ele desenvolve. Contudo, em alguns casos, ao propor a dispensa total de algumas obrigações previstas em lei, a ANPD extrapola a sua competência e pode vulnerabilizar ainda mais a posição dos titulares de dados”, declara Pedro Martins, coordenador acadêmico da Data Privacy Brasil Ensino.

As contribuições para a consulta pública foram abertas de 30 de agosto a 14 de outubro.

 

Confira as sete considerações

1) Atividades de tratamento de alto risco

A abordagem da ANPD de considerar não só o porte econômico do agente de tratamento como também o risco aos titulares dos dados é positiva. Para a Data Privacy Brasil, o critério de larga escala não deve ser considerado cumulativo ao alto risco. Podem existir empresas pequenas que realizem atividades de alto risco. A larga escala pode ser vista como critério para alto risco, e não como um elemento separado.

2) Obrigação de registro das atividades de tratamento

A minuta prevê a dispensa completa e um sistema de registro voluntário por parte das empresas de pequeno porte. Todavia, tal desobrigação extrapola as competências previstas na LGPD. Além disso, o registro das atividades de tratamento é uma obrigação fundamental para uma adequada governança das atividades de tratamento de dados.

3) Relatório de impacto à proteção de dados pessoais

A Data Privacy Brasil defende que o relatório de impacto à proteção de dados pessoais não deve ter como parâmetro o porte da empresa, mas o risco proveniente da atividade ou do conjunto de atividades de tratamento de dados. O relatório é um componente integrado da gestão de risco que pode ser extremamente útil até para pequenas empresas.

4) Segurança da informação

A minuta prevê a possibilidade de flexibilização ou dispensa do dever de comunicação de incidente de segurança para empresas de pequeno porte. Contudo, o que incita esse dever é o risco ocasionado pelo incidente, não o porte do agente de tratamento. De toda maneira, nada impede que procedimentos simplificados sejam oferecidos aos pequenos negócios, desde que se preserve a harmonia entre a LGPD e demais normais legais, como o Marco Civil da Internet e o seu decreto regulamentador (Decreto nº 8.771). Ressalta-se que calibrar e flexibilizar o procedimento para essa comunicação não se confunde, em hipótese alguma, com uma flexibilização ou dispensa do dever de comunicar um incidente.

5) Indicação de encarregado

Embora a ANPD possa dispensar os agentes de pequeno porte de apontar um encarregado de dados (DPO), a indicação é uma boa prática, pois garante maior proteção aos direitos e às liberdades fundamentais dos titulares de dados. No entanto, para reduzir os custos gerados pela atividade, a ANPD poderia prever a possibilidade de nomeação de um mesmo encarregado por um conjunto de organizações, incluindo empresas de pequeno porte.

6) Prazos diferenciados

Quando de um incidente, a minuta prevê prazos com o dobro do tempo para agentes de pequeno porte informarem a ANPD e os titulares dos dados. Contudo, diferentemente da comunicação aos titulares, não há grandes empecilhos para comunicar o incidente à ANPD. Como procedimento simplificado, a Autoridade Nacional poderia regulamentar uma comunicação por etapas, de modo que, caso o agente não disponha de todas as informações de imediato, possa, em um primeiro momento, proceder com uma notificação simplificada. Os complementos, assim, seriam enviados posteriormente. Desse modo, o prazo em dobro para comunicar um incidente à ANPD se mostra desproporcional.

7) Direitos dos titulares

A dispensa total do cumprimento das obrigações relativas ao atendimento de determinados direitos dos titulares é uma ação que foge da competência da ANPD, além de prejudicar ainda mais os titulares. Nesse sentido, a Data Privacy Brasil recomenda que os direitos dos titulares previstos pela LGPD sejam garantidos de forma completa, sendo, contudo, aconselhável que agentes de pequeno porte possuam meios facilitados para cumprir com essa obrigação, a partir de orientações, guias e templates a serem desenvolvidos pela Autoridade Nacional.

 

As propostas da Data Privacy Brasil podem ser conferidas no link: https://bit.ly/dpbr_contribuicao_pmes_anpd.

 

Com informações da Data Privacy Brasil

Avatar photo

Gabriela do Vale

Jornalista com 20 anos de experiência em produção de conteúdo e assessoria de imprensa nas áreas de ciência, tecnologia, inovação, telecomunicações, meio ambiente e direitos humanos. Atualmente, trabalha no portal Tele Síntese com produção de conteúdo especializado em telecomunicações, tecnologia e inovação.

Artigos: 163