Conforme já esperado e devidamente previsto em textos
anteriores a Lei Geral de Proteção de Dados [LGPD] demandou novas
regulamentações para acomodar os seus objetivos e exigências, não somente ao
tecido social pré-existente, mas também aos organismos da sociedade que estão
em constante desenvolvimento.
Nesta linha, a ANPD (Agência Nacional de Proteção de Dados)
no cumprimento de sua agenda regulatória, vem aos poucos delineando o corpo e
forma da estrutura inicialmente criada pela Lei 13.709/2018. Assim, desde a sua constituição, a ANPD já
criou fóruns de discussões, consultas públicas, guias orientativos, manuais,
documentos padronizados e resoluções de seu conselho diretor para a
regulamentação de matérias específicas.
Dentre os atos regulatórios, um dos mais aguardados é a Resolução CD/ANPD n.º 02/2002, que
institui a redução da carga regulatória, imposta pela LGPD, ou a sua
flexibilização para os Agente de Tratamento de Dados de Pequeno Porte (ATDPP),
sem com isso alterar os direitos fundamentais de proteção aos dados pessoais dos
seus respectivos titulares.
A definição de Agente de Tratamento de Dados de Pequeno Porte
(ATDPP), criada pelo próprio ato normativo, é toda pessoa jurídica que se intitula,
na forma da legislação específica vigente, como: empresa de pequeno porte,
microempresa, Startups, bem como as
pessoas jurídicas do direito privado, inclusive sem fins lucrativos, nesta se
enquadram as igrejas.
Com efeito, ainda que se beneficie das dispensas ou
flexibilidades trazidas pela resolução CD/ANPD nº 02/2002, é importante
destacar que a natureza jurídica ou mesmo o pequeno porte de uma instituição não
a isenta do cumprimento dos demais dispositivos da LGPD em sua essência,
princípios e bases legais. E nem da obrigação de adotar as medidas
administrativas e técnicas, mínimas necessárias, para garantir a segurança da
informação e proteção aos direitos do titular dos dados pessoais.
Mas afinal, o que mudou?
Entre os principais pontos de
mudança, ou dispensa e flexibilização
das obrigações, da LGPD, para Agentes de Tratamento de Dados de Pequeno
Porte (ATDPP) estão:
I – A simplificação da forma de elaboração e registro de operações de tratamento
de dados pessoais. Obrigação estabelecida no Art. 37 da LGPD.
A ANPD fornecerá modelo para o registro simplificado;
II – A simplificação do procedimento para a comunicação de
incidentes de segurança.
A ANPD disporá sobre a flexibilização ou procedimento simplificado em regulamentação
específica a ser publicada pela referida agência;
III – A Possibilidade de estabelecer uma Política de Segurança da
Informação simplificada, levando em conta o custo de implantação, estrutura, escala e volume das
operações;
IV – A faculdade dos Agentes de Tratamento de Dados de Pequeno Porte (ATDPP)
(inclusive de alto risco) a se organizarem por meio de entidade de
representação de atividade empresarial, pessoa jurídica ou física, para fins de
negociação, mediação e conciliação de reclamações apresentadas por titulares de
dados.
Este benefício poderá ser aplicado ao
caso de organizações religiosas que pertençam ou sejam filiadas a entidades
representativas, tais como: Associações, Denominações, Ordens, Convenções, Conselhos
Etc., desde que se enquadrem na legislação vigente e atendam aos requisitos
deste ato regulatório.
V – O Estabelecimento de prazos diferenciados
para o atendimento das obrigações. Será concedido prazo em dobro:
Para atender as solicitações dos
titulares referentes ao tratamento de seus dados pessoais (conforme previsto no
art. 18, §§ 3º e 5º da LGPD);
Nas comunicações à ANPD e ao titular
em caso de incidentes de segurança. Exceto quando houver potencial
comprometimento à integridade física ou moral dos titulares ou à segurança
nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos
aos demais agentes de tratamento; no fornecimento da declaração clara e completa
prevista no Art. 19, II da LGPD;
E, por fim, a alteração referente ao
prazo para fornecer a declaração simplificada de que trata o art. 19, I, da
LGPD, que de imediato passou para 15(quinze) dias.
A ANPD, publicará detalhes de
regulamentação de acordo com as necessidades específicas de cada situação. Demais
prazos serão objeto de regulamentação própria a ser publicada pela citada
Agência.
VI – A dispensa da obrigatoriedade da indicação do encarregado pelo
tratamento de dados pessoais (DPO) exigido no art. 41 da LGPD, devendo, neste caso,
disponibilizar um canal de comunicação para o exercício dos direitos dos
titulares na forma do Art. 41, §2º, I da LGPD.
Entretanto, ressalta o Ato
Regulatório em comento, que a indicação de um encarregado dados (DPO) por parte
dos agentes de tratamento de pequeno porte (ATDPP) será considerada política de
boas práticas e governança para fins dos parâmetros atenuantes dispostos no
art. 52, §1º, IX da LGPD.
Quem não pode se beneficiar?
Exceções aos benefícios da Resolução da ANPD.
1. Agentes que
realizam tratamento de alto risco para os titulares, consoante
definições específicas previstas no artigo 4º do Ato Regulatório;
2. Empresas,
que obtêm receita bruta superior ao limite previsto pela legislação
vigente;
3. Agentes de
tratamento que pertençam, de fato ou de direito, a grupo econômico com receita
global superior à prevista na legislação vigente;
Aplica-se também aos casos em que a
organização religiosa, por qualquer motivo, não se enquadre na legislação
própria vigente.
O Ato Regulatório, em seu Art. 4º e
incisos, também define o tratamento de alto risco como sendo aquele que atender
cumulativamente, a pelo menos um critério geral e um critério específico,
dentre os a seguir indicados:
I - Critérios gerais:
a) tratamento de dados
pessoais em larga escala; ou
b) tratamento de dados
pessoais que possa afetar significativamente interesses e direitos fundamentais
dos titulares;
II - Critérios
específicos:
a) uso de tecnologias
emergentes ou inovadoras;
b) vigilância ou
controle de zonas acessíveis ao público;
c) decisões tomadas
unicamente com base em tratamento automatizado de dados pessoais, inclusive
aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de
consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados
pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de
idosos.
E sequência, define
que o tratamento em larga escala será caracterizado quando abranger número
significativo de titulares, levando em consideração, o volume de dados envolvidos,
bem como a duração, a frequência e a extensão geográfica do tratamento
realizado.
Acrescenta também
que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar
os agentes de tratamento de pequeno porte (ATDPP) na avaliação do tratamento de
alto risco.
Não obstante, o ato
regulatório deixa a critério do próprio agente de tratamento de dados, a
análise de seu auto enquadramento como agente de pequeno porte, com vistas a
usufruir dos benefícios desta regulamentação, prevendo, entretanto, a
possibilidade de a ANPD solicitar a comprovação deste enquadramento no prazo de
15(quinze) dias. Portanto, é necessária uma análise consistente dos requisitos
e condições dispostos nos Art. 2º e 3º deste regulamento.
Por fim o Ato
regulatório (CD/ANPD nº 02/2002) ainda estabelece que o atendimento às
recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD,
inclusive por meio de guias orientativos, manuais, impressos padronizados e
demais regulamentações será considerado como observância ao disposto no art.
52, §1º, VIII da LGPD. Em outras palavras será considerado esforço positivo e demonstração
de boa-fé na implantação da LGPD e servirá de atenuante no julgamento e aplicação
de eventuais penalidades apuradas mediante procedimento legal.
Diante de todo o
exposto, recomenda-se que a organização religiosa atente para os
dispositivos desta regulamentação, uma vez que traz benefícios na qualidade de
atenuante regulatória que visa simplificar e até viabilizar a adequação do
tratamento de dados do agente de pequeno porte às exigências da LGPD.
Entretanto, a igreja
deve sempre fazer uma análise técnica e jurídica criteriosa, para decidir sobre
a possibilidade real de enquadramento como agente de tratamento de dados de
pequeno porte (ATDPP) e assim desfrutar dos benefícios deste ato normativo. Também
deve permanecer atenta à agenda e documentos emitidos pela Agência Nacional de
Proteção de Dados (ANPD). Acesso que pode ser obtido pelo site: (https://www.gov.br/anpd/pt-br).
José Luís Palmeira –
Advogado. OBA/SP:148.115
Membro da 1ª Igreja
Batista no Jardim das Indústrias, SJCampos, SP.
Autor da Obra: Lei
Geral de Proteção de Dados para Igrejas
(Como implantar a LGPD nas organizações religiosas)
www.jlpalmeira.com.br
