Em 28/01, dia internacional da Proteção de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) bateu o martelo sobre uma questão que vinha afligindo pequenas e médias empresas e startups. Estava em jogo a obrigatoriedade de contratação do encarregado pelo tratamento de dados pessoais, mais conhecido como DPO (Data Protection Officer, como é chamado na GDPR, a lei de proteção de dados da União Europeia). Agora, PMEs e startups estão oficialmente livres da obrigação de contratar um DPO.
A decisão, anunciada pela resolução CD/ANPD nº 2, não é exatamente uma novidade, uma vez que a ANPD tinha tomado a iniciativa de lançar, em 30 de agosto de 2021, uma consulta pública para facilitar a adoção da Lei em empresas de pequeno porte. No documento da consulta pública, a ANPD já levantava o debate em defesa da dispensa dessa obrigatoriedade para PMEs e startups.
A posição da ANPD caminha na direção de um processo mais ágil e menos dispendioso para as empresas de menor porte adotarem a Lei Geral de Dados Pessoais (LGPD). Segundo o documento publicado pela ANPD, em agosto de 2021: “os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD”.
Essa dispensa, porém, não exime a empresa de manter comunicação com o titular de dados. A minuta que foi para audiência pública deixava claro que “o agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados”.
Boas práticas e governança
Agora, a resolução CD/ANPD nº 2 deixa bem claro que “os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD”. Embora, na prática, isso signifique que não há qualquer obrigação de indicar um DPO, a presença do encarregado pelo tratamento de dados pessoais é considerada uma evidência de boas práticas e governança.
No texto da resolução CD/ANPD nº 2, está bem claro que “a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD”.
Para reduzir custos e facilitar a adoção de boas práticas, a ANPD deu ainda sinal verde à formação de consórcios para o tratamento de dados. Essa liberação está expressa no Art. 8º da resolução: “Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados”.
Mas nunca é demais lembrar que não há isenções com relação ao cumprimento dos demais dispositivos da LGPD, conforme definido no Art. 6º da resolução CD/ANPD nº 2. Isso inclui bases legais e princípios, outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.