quarta-feira, 9 de março de 2022

A Resolução CD/ANPD n.º 02/2002 e a flexibilização da LGPD para as igrejas.

 

Conforme já esperado e devidamente previsto em textos anteriores a Lei Geral de Proteção de Dados [LGPD] demandou novas regulamentações para acomodar os seus objetivos e exigências, não somente ao tecido social pré-existente, mas também aos organismos da sociedade que estão em constante desenvolvimento. 

Nesta linha, a ANPD (Agência Nacional de Proteção de Dados) no cumprimento de sua agenda regulatória, vem aos poucos delineando o corpo e forma da estrutura inicialmente criada pela Lei 13.709/2018.  Assim, desde a sua constituição, a ANPD já criou fóruns de discussões, consultas públicas, guias orientativos, manuais, documentos padronizados e resoluções de seu conselho diretor para a regulamentação de matérias específicas.

Dentre os atos regulatórios, um dos mais aguardados é a Resolução CD/ANPD n.º 02/2002, que institui a redução da carga regulatória, imposta pela LGPD, ou a sua flexibilização para os Agente de Tratamento de Dados de Pequeno Porte (ATDPP), sem com isso alterar os direitos fundamentais de proteção aos dados pessoais dos seus respectivos titulares.

A definição de Agente de Tratamento de Dados de Pequeno Porte (ATDPP), criada pelo próprio ato normativo, é toda pessoa jurídica que se intitula, na forma da legislação específica vigente, como: empresa de pequeno porte, microempresa, Startups, bem como as pessoas jurídicas do direito privado, inclusive sem fins lucrativos, nesta se enquadram as igrejas.

Com efeito, ainda que se beneficie das dispensas ou flexibilidades trazidas pela resolução CD/ANPD nº 02/2002, é importante destacar que a natureza jurídica ou mesmo o pequeno porte de uma instituição não a isenta do cumprimento dos demais dispositivos da LGPD em sua essência, princípios e bases legais. E nem da obrigação de adotar as medidas administrativas e técnicas, mínimas necessárias, para garantir a segurança da informação e proteção aos direitos do titular dos dados pessoais.

Mas afinal, o que mudou?

Entre os principais pontos de mudança, ou dispensa e flexibilização das obrigações, da LGPD, para Agentes de Tratamento de Dados de Pequeno Porte (ATDPP) estão:

I – A simplificação da forma de elaboração e registro de operações de tratamento de dados pessoais. Obrigação estabelecida no Art. 37 da LGPD.

A ANPD fornecerá modelo para o registro simplificado;

 

II – A simplificação do procedimento para a comunicação de incidentes de segurança.

A ANPD disporá sobre a flexibilização ou procedimento simplificado em regulamentação específica a ser publicada pela referida agência;

 

III – A Possibilidade de estabelecer uma Política de Segurança da Informação simplificada, levando em conta o custo de implantação, estrutura, escala e volume das operações;

 

IV – A faculdade dos Agentes de Tratamento de Dados de Pequeno Porte (ATDPP) (inclusive de alto risco) a se organizarem por meio de entidade de representação de atividade empresarial, pessoa jurídica ou física, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Este benefício poderá ser aplicado ao caso de organizações religiosas que pertençam ou sejam filiadas a entidades representativas, tais como: Associações, Denominações, Ordens, Convenções, Conselhos Etc., desde que se enquadrem na legislação vigente e atendam aos requisitos deste ato regulatório. 

 

V – O Estabelecimento de prazos diferenciados para o atendimento das obrigações. Será concedido prazo em dobro

Para atender as solicitações dos titulares referentes ao tratamento de seus dados pessoais (conforme previsto no art. 18, §§ 3º e 5º da LGPD);

Nas comunicações à ANPD e ao titular em caso de incidentes de segurança. Exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento; no fornecimento da declaração clara e completa prevista no Art. 19, II da LGPD;

E, por fim, a alteração referente ao prazo para fornecer a declaração simplificada de que trata o art. 19, I, da LGPD, que de imediato passou para 15(quinze) dias.

A ANPD, publicará detalhes de regulamentação de acordo com as necessidades específicas de cada situação. Demais prazos serão objeto de regulamentação própria a ser publicada pela citada Agência.

 

VI – A dispensa da obrigatoriedade da indicação do encarregado pelo tratamento de dados pessoais (DPO) exigido no art. 41 da LGPD, devendo, neste caso, disponibilizar um canal de comunicação para o exercício dos direitos dos titulares na forma do Art. 41, §2º, I da LGPD.

Entretanto, ressalta o Ato Regulatório em comento, que a indicação de um encarregado dados (DPO) por parte dos agentes de tratamento de pequeno porte (ATDPP) será considerada política de boas práticas e governança para fins dos parâmetros atenuantes dispostos no art. 52, §1º, IX da LGPD.

 

Quem não pode se beneficiar?

Exceções aos benefícios da Resolução da ANPD.

1. Agentes que realizam tratamento de alto risco para os titulares, consoante definições específicas previstas no artigo 4º do Ato Regulatório;

2. Empresas, que obtêm receita bruta superior ao limite previsto pela legislação vigente;

3. Agentes de tratamento que pertençam, de fato ou de direito, a grupo econômico com receita global superior à prevista na legislação vigente;

Aplica-se também aos casos em que a organização religiosa, por qualquer motivo, não se enquadre na legislação própria vigente.

 

O Ato Regulatório, em seu Art. 4º e incisos, também define o tratamento de alto risco como sendo aquele que atender cumulativamente, a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

I - Critérios gerais:

a) tratamento de dados pessoais em larga escala; ou

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II - Critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

E sequência, define que o tratamento em larga escala será caracterizado quando abranger número significativo de titulares, levando em consideração, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Acrescenta também que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte (ATDPP) na avaliação do tratamento de alto risco.

 

Não obstante, o ato regulatório deixa a critério do próprio agente de tratamento de dados, a análise de seu auto enquadramento como agente de pequeno porte, com vistas a usufruir dos benefícios desta regulamentação, prevendo, entretanto, a possibilidade de a ANPD solicitar a comprovação deste enquadramento no prazo de 15(quinze) dias. Portanto, é necessária uma análise consistente dos requisitos e condições dispostos nos Art. 2º e 3º deste regulamento.

 

Por fim o Ato regulatório (CD/ANPD nº 02/2002) ainda estabelece que o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, manuais, impressos padronizados e demais regulamentações será considerado como observância ao disposto no art. 52, §1º, VIII da LGPD. Em outras palavras será considerado esforço positivo e demonstração de boa-fé na implantação da LGPD e servirá de atenuante no julgamento e aplicação de eventuais penalidades apuradas mediante procedimento legal.

 

Diante de todo o exposto, recomenda-se que a organização religiosa atente para os dispositivos desta regulamentação, uma vez que traz benefícios na qualidade de atenuante regulatória que visa simplificar e até viabilizar a adequação do tratamento de dados do agente de pequeno porte às exigências da LGPD.

Entretanto, a igreja deve sempre fazer uma análise técnica e jurídica criteriosa, para decidir sobre a possibilidade real de enquadramento como agente de tratamento de dados de pequeno porte (ATDPP) e assim desfrutar dos benefícios deste ato normativo. Também deve permanecer atenta à agenda e documentos emitidos pela Agência Nacional de Proteção de Dados (ANPD). Acesso que pode ser obtido pelo site: (https://www.gov.br/anpd/pt-br).

 

José Luís Palmeira – Advogado. OBA/SP:148.115

Membro da 1ª Igreja Batista no Jardim das Indústrias, SJCampos, SP.

Autor da Obra: Lei Geral de Proteção de Dados para Igrejas

(Como implantar a LGPD nas organizações religiosas)

www.jlpalmeira.com.br

Nenhum comentário:

Postar um comentário