Desde a entrada em vigor da Lei de Proteção de Dados (“Lei Geral de Proteção de Dados” – “LGPD”), muito se tem falado sobre as incertezas regulatórias que cercam o mundo quanto à regulamentação desse tópico em pequenas empresas, pequenas empresas e start-ups . Entre as muitas incertezas, uma em particular pegou a maioria dos empresários dormindo: a obrigação de nomear um DPO (Data Protection Officer, conforme estabelecido no Regulamento Geral de Proteção de Dados da UE).
Em primeiro lugar, é importante esclarecer que, de acordo com a lei, o responsável pela proteção de dados é a pessoa, dentro da empresa, que é responsável por receber reclamações e comunicações dos titulares dos dados, fornecer esclarecimentos e agir, receber comunicações do Autoridade, orientando os empregados da empresa sobre as ações a serem tomadas no que se refere à proteção de dados pessoais, bem como ao desempenho das demais atribuições especificadas pelo Controlador ou previstas no Regulamento Complementar.
A expectativa quanto à solicitação de sua nomeação é plenamente justificada, não só pelo tratamento diferenciado dispensado a essas empresas no Brasil, seja pela real possibilidade de aplicação da multa pela Agência Nacional de Proteção de Dados (“Agência Nacional de Proteção de Dados “-” ANPD “), mas principalmente Porque a própria LGPD afirma que cabe à autoridade nacional fazer pressupostos sobre a dispensa de tal designação, dada“ a natureza e a dimensão da entidade ou o volume de processamento dos dados operações”.
No entanto, as preocupações decorrentes dessas incertezas estão, felizmente, com os dias contados, pois na última segunda-feira, 08 de agosto de 2021, a ANPD abriu consulta pública sobre regras específicas para micro e pequenas empresas, start-ups e pessoas jurídicas sem fins lucrativos (associações, fundações, etc.)., organizações religiosas, partidos políticos, etc.), bem como indivíduos que também processam dados.
Do ponto de vista da agência, o projeto de resolução apresentado visa permitir a essas empresas, que foram identificadas como “pequenos agentes transformadores” (“pequenos agentes de processamento“-“ ATPP ”), para implementar procedimentos simplificados e diferenciados no tratamento de dados pessoais, para facilitar o processo de adaptação à lei, e para incentivar uma cultura de proteção de dados pessoais, sempre na perspectiva de que esses procedimentos não sejam conflitantes com os direitos tranquilizadores dos proprietários.
Na prática, o principal objeto da decisão trata da isenção da ATPP do dever de designar um DPO, estabelecendo que aquele que optar pela utilização desta licença deve fornecer um canal de comunicação com o titular dos dados, podendo ser representados por entidades representativas da empresa, por entidades jurídicas ou pessoas singulares para efeitos de negociação, mediação e conciliação de reclamações apresentadas pelos titulares dos dados.
É preciso destacar que a finalidade da isenção de a partir de A designação de Data Protection Officer (DPO) cobre até o ATPP que realiza o processamento de dados considerados de alto risco e em larga escala.
Além disso, essa medida também isenta outras obrigações para com esses clientes, tais como:
– possibilidade de optar por atender às solicitações dos titulares por meio eletrônico ou impresso;
Isenção da obrigação de conceder portabilidade de dados a outros produtos ou prestadores de serviços;
– autorização para apresentação de declaração simplificada confirmando a existência de tratamento de dados pessoais, dispensando ao mesmo tempo a apresentação de declaração de processamento completo;
– autorizar um relatório eficaz sobre a protecção de dados pessoais de forma simplificada e apenas de acordo com os requisitos;
Concessões duplasDr Prazo para atender aos pedidos das pessoas em causa, comunicar com a Agência Nacional Afegã e o proprietário do incidente de segurança.
Outra questão relevante para estes agentes é a dispensa da obrigação de manutenção de registos do tratamento das transacções de dados pessoais efectuadas, possibilitando a comunicação do impacto na protecção de dados pessoais de forma simplificada, quando aplicável.
No que se refere às questões de segurança da informação e boas práticas, a decisão da ANPD determina que a agência deverá disponibilizar um manual de orientação contendo recomendações sobre as ações administrativas e técnicas a serem tomadas primária e obrigatoriamente, sempre levando em consideração o nível de risco à privacidade envolvido e o realidade do agente de processamento, permitindo-lhes desenvolver políticas simplificadas de segurança da informação, que consideram os requisitos básicos para o tratamento.
Tal política de segurança da informação simplificada deve levar em consideração os custos de implementação, bem como a estrutura, escopo e número de operações a serem realizadas pelo pequeno agente de processamento, bem como a sensibilidade e importância dos dados processados perante os direitos e liberdades dos sujeitos.
Apesar das isenções e flexibilidades, o disposto na decisão não se aplica a uma ATPP que realize tratamentos considerados muito arriscados para os proprietários e em larga escala. As operações são consideradas altamente arriscadas e generalizadas quando incluem:
– dados sensíveis ou dados pertencentes a grupos vulneráveis, incluindo crianças, adolescentes e idosos;
Monitorar e controlar áreas acessíveis ao público;
– o uso de tecnologias emergentes, que podem causar danos materiais ou morais aos seus proprietários, como discriminação, violação de direitos de imagem e reputação, fraude financeira e roubo de identidade; ou
– tratamento automatizado de dados pessoais que afetem os interesses dos seus proprietários, incluindo decisões destinadas a determinar o seu caráter pessoal, profissional, de consumo, crédito ou aspectos da sua personalidade.
Por fim, abre-se uma brecha na fiscalização, uma vez que, dependendo da natureza e do número de operações, dos riscos para os proprietários e da sensibilidade e relevância dos dados processados, a NAEA pode, de maneira incomum, determinar a conformidade desses agentes com os isentos obrigações.tão ou relaxado pela decisão.
O conselho geral está disponível em Compartilhe mais – Brasil A plataforma, que é o único canal disponível para o envio de contribuições, pode ocorrer até 29 de setembro de 2021. Essa plataforma também fornece um Relatório de Análise de Impacto Regulatório, voto dos diretores e uma apresentação explicando a participação na plataforma.
Também está prevista audiência pública sobre o assunto para os dias 14 a 15 de setembro de 2021, a qual será abertatão Ao público com transmissão simultânea no canal da agência no YouTube. Nesta ocasião, os interessados previamente cadastrados poderão comentar o disposto no projeto de resolução.
As inscrições para as submissões orais serão feitas até as 18h do dia 9 de setembro de 2021, por meio de formulário disponível no site da ANPD.