A pesquisa (intitulada LGPD no mercado brasileito) apontou, dentre outras conclus�es, que a prote��o de dados para pequenas e m�dias empresas ainda n�o se tornou uma prioridade, apesar de seus representantes terem conhecimento das poss�veis san��es aplicadas, no caso de descumprimento da lei. De acordo com o levantamento, 60% das pequenas empresas consultadas sequer iniciaram a implementa��o das adequa��es.
A lentid�o desses empreendedores para se adaptarem � LGPD pode ser explicada por alguns fatores como a aus�ncia de uma cultura de prote��o de dados, custos financeiros e operacionais. Alguns deles ainda encaram a lei apenas como mais uma burocracia a ser cumprida para o exerc�cio de sua atividade.
De outro lado, a variedade de golpes aplicados na internet e os diversos incidentes de vazamentos de dados t�m aumentado o debate sobre sua prote��o. H�, hoje, uma tend�ncia de consumidores e outros titulares dos dados passarem a cobrar mais medidas de seguran�a neste sentido.
Um incentivo para as pequenas e m�dias empresas ajustarem-se � lei � a recente publica��o pela Ag�ncia Nacional de Prote��o de Dados (ANPD) de uma resolu��o contendo o Regulamento de aplica��o da LGPD para agentes de tratamento de pequeno porte.
A norma, publicada no �ltimo dia 28 de janeiro - data em que se comemora o Dia Internacional de Prote��o de Dados - � destinada a agentes de tratamento de dados enquadrados legalmente como microempresas, empresas de pequeno porte, startups, pessoas jur�dicas sem fins lucrativos e entes despersonalizados (condom�nios, por exemplo).
Dentre as prerrogativas previstas est�o a possibilidade de se manter um registro mais simplificado de suas opera��es (a lei exige um invent�rio de todas as opera��es de dados) e a flexibiliza��o do procedimento para a comunica��o de incidentes de seguran�a. A resolu��o prev� que a ANPD disponibilizar� um formul�rio pr�prio para o registro e que o procedimento relativo aos incidentes ser� objeto de regula��o futura.
Outras regras permitem a ado��o de uma pol�tica simplificada de seguran�a da informa��o e prazos diferenciados para estes agentes. Eles ter�o, por exemplo, o dobro do prazo que � exigido de outras empresas para responderem a questionamentos apresentados pelos titulares dos dados.
Por fim, uma importante norma refere-se � dispensa da nomea��o do Data Protection Officer (DPO), que � a pessoa respons�vel por manter a comunica��o entre o agente que trata dos dados, seus titulares e a ANPD. Segundo a nova resolu��o, bastar� a cria��o de um canal de comunica��o com os titulares dos dados. Mas, em raz�o da import�ncia do DPO, o regulamento traz um incentivo para sua indica��o, ao trat�-la como pol�tica de boas pr�ticas e governan�a.
Estas medidas de flexibiliza��o n�o ser�o aplic�veis, contudo, em algumas situa��es. A principal delas refere-se ao tratamento de dados que ofere�a alto risco para os titulares.
Para definir estes riscos, a norma estipulou crit�rios gerais e especiais.
Os crit�rios gerais referem-se ao tratamento realizado em larga escala e ao tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Os crit�rios especiais envolvem hip�teses de tratamento realizado com o uso de tecnologias emergentes ou inovadoras; relacionado � vigil�ncia ou controle de zonas acess�veis ao p�blico, feito por meio de decis�es automatizadas (inclusive aquelas destinadas a definir o perfil pessoal, profissional, de sa�de, de consumo e de cr�dito ou os aspectos da personalidade do titular) e relativos a dados pessoais sens�veis de crian�as, adolescentes e idosos.
Para que a atividade seja considerada de alto risco o tratamento deve ser enquadrado de forma cumulativa em pelo menos um crit�rio geral e um crit�rio espec�fico.
Ao que tudo indica, este ser� o ponto da resolu��o que trar� maior dificuldade de compreens�o pelos agentes de pequeno porte. Pensemos, por exemplo, no conceito de tecnologia emergente e inovadora ali citado. N�o � raro que ela seja utilizada por pequenas startups no desenvolvimento de seu neg�cio. A identifica��o destas caracter�sticas no caso concreto, por�m, nem sempre � tarefa simples.
Em raz�o disto, o pr�prio regulamento prev� que a ANPD poder� disponibilizar guias e orienta��es para o aux�lio neste enquadramento.
De todo modo, a norma � bem-vinda e poder� significar um ponto de equil�brio entre o desenvolvimento dos pequenos empreendimentos e a prote��o de dados.
- O autor desta coluna � Advogado, Especialista e Mestre em Direito Empresarial
- Sugest�es e d�vidas podem ser enviadas para o email [email protected]