Será o fim do encarregado de dados para pequenas empresas e startups?

Resolução publicada em janeiro pela ANPD busca equilíbrio na aplicação da LGPD e flexibiliza algumas obrigações

divulgação

Nos últimos dias de Janeiro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a resolução CD/ANPD nº 2, com novo regulamento de aplicação da Lei Geral de Proteção de Dados para empresas de pequeno porte e iniciativas empresariais de caráter incremental ou disruptivo (as startups).
O objetivo da mudança é trazer equilíbrio às regras da LGPD, permitindo que sua aplicação seja possível às empresas, independentemente de seu tamanho. Desta forma, uma das novidades é a não mais obrigatoriedade da indicação do encarregado pelo tratamento de dados pessoais (conforme exigido no artigo. 41 da LGPD).
E por que isso é importante? Ou como a queda dessa exigência facilita a “vida” das pequenas empresas e startups, quando falamos em LGPD? O encarregado pelo tratamento de dados pessoais, internacionalmente conhecido como Data Protection Officer (DPO), tem a função de atuar como canal de comunicação entre a instituição (empresa), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Porém, para empresas menores, ou no início de uma atividade experimental, nem sempre é fácil arcar com custos de implementação da nova legislação e a mudança é uma tentativa de propor uma adequação à política de segurança considerando a estrutura, a escala e até mesmo o volume de operações dos pequenos agentes.
Ainda segundo o Relatório de Análise de Impacto Regulatório, elaborado pela própria ANPD, existe uma “baixa maturidade das microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais no que se refere à adequação à LGPD”. Por isso, o órgão vem estudando maneiras de preencher essas lacunas.
“A nova resolução traz sugestões de medidas capazes de promover, em pequenas empresas e startups, um ambiente institucional igualmente seguro quanto ao tratamento de dados pessoais. Uma delas é ter um canal no qual o titular possa fazer correções, atualizações, portabilidades, entre outras solicitações”, explica a advogada Melissa Fabosi, sócia do escritório Bosquê Advocacia e especialista em LGPD.
“Também o titular deve ser informado sobre a realização do compartilhamento de seus dados com outras empresas e/ou transferência internacional”, diz a advogada, que completa: “A nova resolução traz também sugestões como a realização de campanhas nas empresas para conscientizar funcionários, por meio de treinamentos e outras ações, sobre obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.”
Para Melissa, um exemplo na prática é a empresa debater o tema com os funcionários. “Precisa existir uma comunicação sobre como utilizar controles de segurança dos sistemas de TI relacionados ao trabalho diário; como evitar se tornarem vítimas de incidentes de segurança corriqueiros, tais como contaminação por vírus ou ataques que podem ocorrer, por exemplo, ao clicar em links que chegam por e-mail; ou como manter documentos físicos que contenham dados pessoais devidamente arquivados e protegidos contra acesso de terceiros”, explica.
Ela ainda lembra que a própria resolução traz como sugestão a possibilidade das empresas se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Por último, ela avisa que não acredita no fim do papel do encarregado de dados. “Até porque a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança, para fins do disposto no art. 52, §1º, IX da LGPD”, explica.
Para ela, é preciso entender que as ações da ANPD consideram a realidade atual das empresas brasileiras, que ainda estão se adequando à implantação da LGPD, bem como assimilando a importância das obrigações legais ao tratar os dados pessoais, sejam de colaboradores ou parceiros de negócios. Porém, é igualmente importante a compreensão das empresas de pequeno porte com relação à atenção à LGPD (e que nada mudou, neste quesito). 

Mais mudanças
A nova resolução dobra os prazos para pequenas empresas em ações como retorno no atendimento das solicitações dos titulares e na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
Vale lembrar que o Brasil continua no topo do ranking mundial de vazamentos de dados, tendo contabilizado mais de 2,8 bilhões de dados sensíveis expostos em 2021, de acordo com o relatório de Atividade Criminosa Online no Brasil, divulgado pela Axur, neste mês de fevereiro.
Endereços de e-mail e credenciais foram os dados mais buscados pelos criminosos virtuais, conforme o levantamento, com 1,13 bilhão e 935 milhões de vazamentos, respectivamente. Na sequência, aparecem os CPFs (699 milhões), CNPJs (40 milhões), passaportes (343 mil) e outros tipos de documentos (7 mil).
Desta forma, cada vez mais torna-se imprescindível criar um ambiente organizacional que incentive a alta gestão, colaboradores e outros usuários de sistemas da empresa, tanto clientes quanto funcionários, para informar incidentes e vulnerabilidades detectadas.

Mais informações, acesse: https://bosqueadvogados.com.br