A Associação Data Privacy Brasil levantou preocupações em relação à proposta de flexibilizar a aplicação da Lei Geral de Proteção de Dados (LGPD) para empresas de pequeno porte. 

Em agosto deste ano, a Autoridade Nacional de Proteção de Dados abriu uma consulta pública sobre a aplicação da LGPD no caso de as violações serem cometidas por negócios menores. 

O assunto vem gerando discussões sobre o que risco que isso pode representar à proteção de dados, e, após várias solicitações, a ANPD decidiu estender o prazo para o envio das contribuições à consulta pública até a última quinta-feira (14). 

A Data Privacy afirma que as propostas da ANPD acertam em alguns pontos, principalmente ao considerar o risco das atividades em vez de apenas o porte econômico das empresas. No entanto, a associação aponta que algumas medidas podem vulnerabilizar a proteção dos dados tratados

O documento enviado à ANPD como contribuição à consulta pública inclui considerações, organizadas em sete pontos principais, que a associação acredita que devem ser analisadas com maior cuidado e aprofundamento pelo órgão regulador.

Flexibilização e dispensa de obrigações

Algumas das preocupações levantadas pela Data Privacy é a possibilidade de dispensar as empresas de pequeno porte de determinadas obrigações. Esse é o caso do registro das atividades de tratamento dos dados.

Embora a ANPD proponha que seja de caráter voluntário, a associação acredita que o registro obrigatório das atividades é fundamental para a tarefa de responsabilização das empresas e a sua prestação de contas. 

O relatório de impacto à proteção de dados pessoais também poderá se tornar dispensável no caso das pequenas empresas. O argumento utilizado aqui pela Data Privacy é que a ANPD deveria considerar o risco da atividade, não apenas o porte do agente de tratamento. 

Uma das propostas mais controversas apresentadas pela ANPD é em relação à dispensa do dever de as empresas comunicarem algum incidente de acesso indevido ou vazamento de dados.

A Data Privacy defende que, em vez da dispensa, o órgão regulador ofereça procedimentos simplificados para os pequenos negócios. Ou seja, apesar de flexibilizar o procedimento de comunicação, a ANPD continuaria exigindo a transparência das empresas ao informar incidentes de cibersegurança

Prazos diferenciados e direitos dos titulares

A ANPD ainda prevê estender os prazos às empresas de pequeno porte por um período duas vezes maior que o determinado para as grandes corporações. Isso inclui até mesmo o prazo para comunicar incidentes de segurança. 

Aba escrito "security".

A Data Privacy argumenta que caso a empresa tenha dificuldades em coletar todas as informações necessárias para comunicar a ANPD sobre um incidente, uma solução seria enviar uma nota inicial simplificada e, posteriormente, complementá-la com os detalhes. 

Por fim, em relação ao direito dos titulares, o documento elaborado pela Data Privacy afirma que a dispensa total do cumprimento de obrigações relativas a um direito previsto em lei é uma ação que foge da competência de um ato administrativo e que vulnerabiliza ainda mais os titulares de dados. 

Assim, a associação acredita que o direito de portabilidade dos dados deve ser mantido independentemente do porte econômico do agente de tratamento. Caso a empresa não conte com meios para anonimizar dados pessoais, a Data Privacy defende que elas devem eliminar ou bloquear essas informações quando um titular solicitar a anonimização.

Deixe um comentário
Você também pode gostar