Aproxima-se a data em que entrarão em vigor as sanções da Autoridade Nacional de Proteção de Dados (ANPD) em casos de violação à LGPD (Lei nº 13.709/18). As sanções poderão ser aplicadas a partir de 1º de agosto de 2021 e muitas empresas ainda não iniciaram seus processos de adequação.

O desafio pode parecer maior às pequenas e médias empresas, que dispõem de menos recursos humanos e financeiros para empregar em projetos de compliance, mas a tarefa não deve ser deixada de lado ou subestimada.

LGPD traz uma mudança cultural na vida e nos negócios

Primeiramente, vale lembrar que a LGPD traz uma mudança cultural que atravessa toda a sociedade. Com a exponencial digitalização da vida e dos negócios, uma cultura de proteção de dados é imprescindível para proteger direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. No Brasil, a LGPD se aplica a todas as pessoas jurídicas, sejam públicas ou privadas, e a pessoas naturais que fazem uso comercial de dados pessoais. 

À semelhança do que ocorre na legislação europeia – General Data Protection Regulation (GDPR), no Brasil, coube à ANPD editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, aplicáveis às microempresas, empresas de pequeno porte e startups (art. 55-J, XVIII). Busca-se, assim, flexibilizar algumas normas para facilitar e incentivar a adequação destas empresas, sem perder de vista os direitos dos titulares. 

Resolução para pequenas e médias empresas

Já prevista entre os primeiros itens da Agenda Regulatória da ANPD, a Resolução com regras específicas para as pequenas e médias empresas, startups e pequenos empreendedores está prestes a ser publicada pela Autoridade e é aguardada ansiosamente por juristas e empresários. Espera-se que a Resolução simplifique diversas exigências que atualmente aplicáveis para todas as empresas, independentemente do seu porte.

Uma das principais expectativas é de que a Resolução adote a mesma linha da União Europeia e regulamente as hipóteses de dispensa de nomeação do Encarregado de Proteção de Dados (Data Protection Officer - DPO).

Tal possibilidade já se encontra prevista no texto da lei brasileira (art. 41, 3º parágrafo), que conferiu liberdade à ANPD para estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. A inexigibilidade da nomeação de um encarregado de dados deve levar em conta critérios como o tamanho da empresa e o volume das operações de tratamento de dados. 

Outro ponto que deve ser regulamentado pela ANPD diz respeito aos relatórios de impacto à proteção de dados pessoais. Estes relatórios são documentos elaborados pelo controlador dos dados, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas

Confira mais informações sobre este tema:

Ver notícia "Apenas 4% das pequenas e médias empresas já estão preparadas para a LGPD": https://canaltech.com.br/seguranca/apenas-4-das-pequenas-e-medias-empresas-ja-estao-preparadas-para-a-lgpd-189306/

PORTARIA Nº 11, DE 27 DE JANEIRO DE 2021 - Torna pública a Agenda Regulatória da ANPD para o biênio 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313