ENQUADRAMENTO E ADEQUAÇÃO

A flexibilização das regras prevista na regulamentação da ANPD só se aplica a agentes de pequeno porte que não realizam tratamento de dados ti 14 LGPD tem regras flexibilizadas para micro e pequenas empresas A Autoridade Nacional de Proteção de Dados (ANPD) estabelece critérios diferenciados para organizações de menor porte, mas mantém rigor em relação ao tratamento de dados de alto risco. ti 15 de alto risco.

Bioni esclarece que o órgão adotou um critério duplo, combinando a exigência relativa ao porte da empresa às suas práticas. “De nada adianta ser uma startup se tem tratamento de alto risco, se trata grande base de dados sensíveis como, por exemplo, na área da saúde”, considera. “Apesar de ser um agente econômico de pequeno porte, essa empresa não seria elegível para o tratamento diferenciado e mais flexibilizado porque a sua atividade demanda maior nível de compliance”. Freitas chama atenção para dois conceitos trazidos na resolução: “tratamento em larga escala” e “tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares”.

O advogado aponta que “na forma prevista no regulamento, o enquadramento de determinada atividade de tratamento de dados pessoais em qualquer desses critérios comporta uma margem interpretativa ampla, que acaba gerando incertezas”. O advogado pontua que “essa dificuldade deve ser mitigada quando a ANPD divulgar guias e orientações para a avaliação do tratamento de alto risco, como previsto no próprio regulamento”.

O órgão tem divulgado uma série de materiais ricos em esclarecimentos e exemplos, que facilitam a adequação das empresas e podem ser acessados gratuitamente no portal www.gov.br/anpd. Neste momento, a prioridade das MPEs deve ser construir uma cultura organizacional voltada para a proteção de dados. Nesse sentido, Bioni esclarece que o principal gargalo é o elemento humano, sendo fundamental investir no treinamento do pessoal. Freitas reitera a importância de disseminar “a noção de que o dado pessoal pertence ao titular, de modo que o seu uso, o seu mero armazenamento e qualquer outra forma de tratamento só podem ocorrer sob as hipóteses autorizadas por lei”.

Para tanto, a empresa deve compreender quais dados pessoais trata e se ajustar, eliminando de seus processos informações e operações desnecessárias.