A Associação Data Privacy Brasil levantou preocupações em relação à proposta de flexibilizar a aplicação da Lei Geral de Proteção de Dados (LGPD) para empresas de pequeno porte.
Em agosto deste ano, a Autoridade Nacional de Proteção de Dados abriu uma consulta pública sobre a aplicação da LGPD no caso de as violações serem cometidas por negócios menores.
O assunto vem gerando discussões sobre o que risco que isso pode representar à proteção de dados, e, após várias solicitações, a ANPD decidiu estender o prazo para o envio das contribuições à consulta pública até a última quinta-feira (14).
A Data Privacy afirma que as propostas da ANPD acertam em alguns pontos, principalmente ao considerar o risco das atividades em vez de apenas o porte econômico das empresas. No entanto, a associação aponta que algumas medidas podem vulnerabilizar a proteção dos dados tratados.
O documento enviado à ANPD como contribuição à consulta pública inclui considerações, organizadas em sete pontos principais, que a associação acredita que devem ser analisadas com maior cuidado e aprofundamento pelo órgão regulador.
Flexibilização e dispensa de obrigações
Algumas das preocupações levantadas pela Data Privacy é a possibilidade de dispensar as empresas de pequeno porte de determinadas obrigações. Esse é o caso do registro das atividades de tratamento dos dados.
Embora a ANPD proponha que seja de caráter voluntário, a associação acredita que o registro obrigatório das atividades é fundamental para a tarefa de responsabilização das empresas e a sua prestação de contas.
O relatório de impacto à proteção de dados pessoais também poderá se tornar dispensável no caso das pequenas empresas. O argumento utilizado aqui pela Data Privacy é que a ANPD deveria considerar o risco da atividade, não apenas o porte do agente de tratamento.
Uma das propostas mais controversas apresentadas pela ANPD é em relação à dispensa do dever de as empresas comunicarem algum incidente de acesso indevido ou vazamento de dados.
A Data Privacy defende que, em vez da dispensa, o órgão regulador ofereça procedimentos simplificados para os pequenos negócios. Ou seja, apesar de flexibilizar o procedimento de comunicação, a ANPD continuaria exigindo a transparência das empresas ao informar incidentes de cibersegurança.
Prazos diferenciados e direitos dos titulares
A ANPD ainda prevê estender os prazos às empresas de pequeno porte por um período duas vezes maior que o determinado para as grandes corporações. Isso inclui até mesmo o prazo para comunicar incidentes de segurança.
A Data Privacy argumenta que caso a empresa tenha dificuldades em coletar todas as informações necessárias para comunicar a ANPD sobre um incidente, uma solução seria enviar uma nota inicial simplificada e, posteriormente, complementá-la com os detalhes.
Por fim, em relação ao direito dos titulares, o documento elaborado pela Data Privacy afirma que a dispensa total do cumprimento de obrigações relativas a um direito previsto em lei é uma ação que foge da competência de um ato administrativo e que vulnerabiliza ainda mais os titulares de dados.
Assim, a associação acredita que o direito de portabilidade dos dados deve ser mantido independentemente do porte econômico do agente de tratamento. Caso a empresa não conte com meios para anonimizar dados pessoais, a Data Privacy defende que elas devem eliminar ou bloquear essas informações quando um titular solicitar a anonimização.
