O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) regulamentou um tratamento jurídico diferenciado da Lei Geral de Proteção de Dados (LGPD) para microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos. A Resolução CD/ANPD Nº 2 foi publicada no Diário Oficial da União, no dia 28 de janeiro.
A resolução busca simplificar os procedimentos da LGPD para agentes considerados como de pequeno porte. Em artigo publicado no Conjur, os advogados Rodrigo da Costa Alves e Mariana Maciel Viana Ferreira destacam as principais mudanças:
1) Organização por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
A organização por meio de entidades de representação pode servir como uma forma de aperfeiçoar e articular os interesses desse segmento empresarial e servir como ponto de padronização de suas práticas e processos de gestão, facilitando, assim, a resposta aos interesses dos titulares de dados de forma mais estruturada e uniforme.
Trata-se de um importante mecanismo para a construção de um ecossistema coeso e uniforme a respeito das regras a serem aplicadas por parte de tais agentes. Evidente que tais normas e procedimentos criados por agentes de tratamento de pequeno porte organizados em entidades representativas passarão pelo crivo da própria autoridade e da sociedade — ou pelo menos assim se espera.
2) Elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do artigo 37 da LGPD, de forma simplificada.
O registro das operações de tratamento de dados pessoais consiste em uma boa prática de governança, em que se específica, entre outras coisas, a forma pela qual se dá o tratamento dos dados pessoais, perpassando seu ciclo de vida (criação, uso, distribuição, armazenamento e exclusão).
É um processo de catalogação do fluxo de dados pessoais objeto das operações de tratamento (artigo 5º, X), por meio de entrevistas diretamente com os responsáveis pelas áreas ou por formulários específicos — é o que comumente se chama de data mapping. Há, também, a atividade de identificação de quais dados são objeto de tratamento na empresa e onde estão armazenados, se internamente ou com terceiros externos.
Trata-se de um procedimento de difícil operacionalização e de elevado custo, pois envolve a necessidade de se aprofundar nos processos internos da empresa para ter um “retrato” assertivo dos fluxos de dados e dos tipos de dados tratados. Nesse sentido, a flexibilização dessa atividade, a princípio, foi algo bastante positivo. Cumpre destacar, todavia, que a ANPD ainda fornecerá o modelo para o citado registro simplificado, o que dificulta o planejamento para a incorporação dessa flexibilização.
De todo modo, recomenda-se que o registro seja feito da maneira mais robusta, quando possível, para que o agente de tratamento tenha ciência dos fluxos e dados tratados, obedecendo aos princípios da prevenção, transparência e responsabilização e prestação de contas da LGPD.
Além disso, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, será considerada para fins de aplicação de sanções aos agentes de tratamento que descumprirem a lei (artigo 52, §1º, VIII).
3) Flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte (pendente de regulamentação).
Incidente de segurança com dados pessoais é qualquer situação de violação à segurança dos dados pessoais, desde acessos não autorizados a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O artigo 48 da LGPD determina que o controlador deverá comunicar à autoridade nacional e ao titular de dados a ocorrência de incidente de segurança que possa resultar em risco ou dano relevante aos titulares de dados.
Atualmente, a LGPD exige que sejam mencionados: 1) a descrição da natureza dos dados pessoais afetados; 2) as informações sobre os titulares envolvidos; 3) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; 4) os riscos relacionados ao incidente; 5) os motivos da demora, no caso de a comunicação não ter sido imediata; e 6) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
A ANPD disponibiliza em seu site o formulário a ser preenchido, o qual deve ser enviado por meio de peticionamento eletrônico — usuário externo. Com exceção de algumas perguntas iniciais acerca do tipo de comunicação e para identificação do agente de tratamento, do notificante e do encarregado, o formulário contém apenas 17 perguntas, as quais se referem: ao incidente de segurança; às medidas de segurança utilizadas para a proteção dos dados; aos riscos relacionados ao incidente de segurança; e à comunicação aos titulares de dados.
Trata-se, portanto, de um formulário já sucinto, adequado para contemplar o cenário do incidente, os afetados por ele, as consequências e os próximos passos. Ademais, o envio por meio do peticionamento eletrônico é um procedimento bastante simples e de fácil compreensão pelo usuário.
Dessa forma, faz-se necessário aguardar a regulamentação pela ANPD para verificar qual será a simplificação proposta pela Autoridade, tendo em vista que o atual formulário de comunicação de incidentes já é bastante adequado, mesmo à realidade dos agentes de tratamento de pequeno porte.
4) Desnecessidade de indicação de encarregado de dados.
A dispensa da nomeação do encarregado já era algo esperado para os agentes de tratamento de pequeno porte, até em função do artigo 41, §3º, que dispõe a respeito da regulamentação, por parte da ANPD, da exigência e dispensa desse profissional conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Embora os agentes de pequeno porte estejam desobrigados de nomear tal profissional, ainda assim devem fornecer um canal de comunicação que possibilite ao titular de dados exercer seus direitos e demandar da instituição informações a respeito do tratamento de seus dados. A nomeação do encarregado será considerada política de boas práticas e governança para os fins da aplicação de sanções.
Nesse sentido, conclui-se que, para efeitos de mitigação de riscos e dos custos de responsabilização em casos de vazamento de dados, a contratação desse profissional, ainda que de um DPO as service, é algo a ser considerado pelos agentes de tratamento de pequeno porte, especialmente para atender aos chamados dos titulares de dados que certamente passarão a exercer seus direitos com mais frequência.
5) Estabelecimento de política simplificada de segurança da informação.
Embora tenha sido uma importante flexibilização, esse é um tema que deve ser visto com cautela. A Política de Segurança da Informação (PSI) tem por objetivo, entre outros, estabelecer diretrizes a serem seguidas pela empresa quanto aos aspectos da confidencialidade, disponibilidade e integridade e autenticidade dos dados e orientar a elaboração de normas específicas para a utilização segura dos ativos de informação da empresa.
A PSI deve ser adequada aos propósitos da organização, incluir os objetivos da segurança da informação (o que será feito; quais os recursos necessários; quem será o responsável; quando estará concluído; como os resultados serão avaliados), incluir o comprometimento em satisfazer os requisitos aplicáveis e o comprometimento com a melhoria contínua do sistema de gestão da segurança da informação.
Trata-se, portanto, de um poderoso instrumento de gestão da segurança da informação para mitigar os riscos associados ao tratamento de dados e orientar os agentes de pequeno porte e seus colaboradores, além de servir como diferencial competitivo quando da contratação por agentes controladores que realizaram uma robusta adequação e procuram parceiros comerciais no mesmo nível de comprometimento. Nesse sentido, embora sua elaboração tenha sido flexibilizada pela Autoridade, é recomendado que agentes de tratamento de pequeno porte, especialmente aqueles com quantidade razoável de colaboradores, que invistam em conscientização para o fortalecimento da cultura da proteção de dados e segurança da informação.
6) Prazo em dobro para:
a) atendimento das solicitações dos titulares de dados;
b) comunicação à ANPD e ao titular da ocorrência de incidente de segurança;
c) no fornecimento de declaração clara e completa quando da requisição do titular da confirmação e existência ou o acesso a dados pessoais; e
d) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Fonte: com informações extraídas do artigo “Flexibilização da LGPD: primeiras reflexões sobre a resolução CD/ANPD nº 2”. Clique aqui para ler na íntegra.
Cursos relacionados da Conhecer Seguros:
>> Riscos, Direito e Seguros Cibernéticos
>> Lei Geral de Proteção de Dados no Setor de Seguros
>> Lei Geral de Proteção de Dados e as Operadoras de Planos de Saúde
>> Combo: LGPD no Setor de Seguros e Operadoras de Planos de Saúde
Notícias relacionadas:
Mais de 40 bilhões de dados confidenciais foram expostos em 2021, aponta pesquisa
Com aumento de ataques hackers no País, Conhecer Seguros lança curso sobre Riscos, Direito e Seguros Cibernéticos
Inteligência Artificial acelera processo de sinistro e impulsiona seguro auto
