Dados pessoais: o admirável mundo novo das boas notícias vindas da ANPD

2022 começou com uma excelente notícia para o ecossistema que se envolve com o tratamento de dados pessoais. No dia 27 de janeiro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou resolução estabelecendo um regime simplificado para a conformidade à Lei Geral de Proteção de Dados (LGPD) por parte das pequenas empresas e startups. Importante deixar claro, contudo, que simplificar é diferente de isentar. Todas as empresas continuam sujeitas à LGPD.

Mas antes de explicar quais são os procedimentos diferenciados que a ANPD trouxe, vale lembrar que uma das etapas da adequação das empresas à LGPD recebe o nome de “conscientização”. Por isso, é importante aproveitar a chegada dessa resolução da ANPD para reforçar a importância da proteção dos dados pessoais e dos motivos que levaram à necessidade de criação de tal aparato legal.

Uma forma fácil de compreender é fazer uma analogia entre a proteção de dados pessoais e o sistema de proteção do consumidor, organizado no Brasil pelo Código de Defesa do Consumidor (CDC). A partir da compreensão de que em uma sociedade de consumo o cidadão-consumidor se encontra em uma situação de desequilíbrio nas suas relações com empresários/fornecedores, passou-se a adotar um sistema legal de responsabilidade objetiva. Significa que em uma situação de dano causado ao consumidor no uso de serviços ou produtos adquiridos de um fornecedor, este responde pelos danos causados, independentemente de comprovação de culpa. O que se adota no país é a chamada “teoria do risco integral”, sendo que a responsabilidade do empresário decorre do próprio exercício da atividade com fins lucrativos.

Essa regra de proteção ao consumidor fez com que os empresários brasileiros aprimorassem, preventivamente, os padrões de qualidade dos produtos e serviços ofertados no mercado. Atualmente, é possível observar vários modelos de negócio que oferecem proteções aos usuários que vão além dos standards legais, pois o que está previsto no CDC passa a servir como baliza inicial de proteção mínima. Pode-se dizer, tranquilamente, que as empresas brasileiras, passados mais de 30 anos da publicação do Código de Defesa do Consumidor, são consumers by design, preocupados em atender aos direitos do consumidor já no desenho do seu plano de negócios.

Com a transição da sociedade do consumo para a sociedade da informação, entretanto, o dado pessoal foi considerado o “novo petróleo” e passaram a ser criados modelos de negócio com a seguinte regra: se o serviço é de graça, você é o produto.

Na atual realidade, o consumidor passa a ser também o insumo para a melhoria constante do produto/serviço consumido ou até mesmo para a geração de novos negócios. A figura do prosumer é suplantada, aos poucos, pelo prosumer passivo, que nada mais é do que todo usuário de plataformas digitais gratuitas, com dados agregados como produtos para o mercado no ambiente big data. 

E se o dado é o novo petróleo, como queremos que essa riqueza seja explorada? Na qualidade de consumidor – na sociedade da informação, de prosumer passivo – posso entender que a responsabilidade civil prevista no CDC é mecanismo suficiente para a minha proteção caso o uso inapropriado dos meus dados pessoais me gere algum dano?

Os dados pessoais precisam, certamente, ser usados com cuidado para proteger os seus provedores – prosumers –, evitando que sejam prejudicados por vazamentos e usos indevidos. Ainda, a dificuldade que o consumidor-cidadão tem para identificar onde, quando e quem foi responsável pelo vazamento do seu dado pessoal usado indevidamente demonstra, de forma clara, que apenas a regra da responsabilidade civil do empresário independentemente de haver culpa não é suficiente para que este adote medidas preventivas para evitar o uso indevido dos dados pessoais captados.

É justamente para fazer frente a esse novo desafio social que os países vêm lançando mão de sistemas legais para obrigar empresas a adotar medidas preventivas para utilizar standards mínimos de segurança de informação em seus sistemas de informática, além de desenvolver políticas de privacidade no tratamento de dados pessoais.

O modelo que vem sendo utilizado como paradigma para essa estruturação de boas práticas leva em conta o formato desenvolvido por Ann Cavoukian, no Canadá, cuja sistematização recebe a denominação de privacy by design. Esse sistema serviu de orientação para a estruturação do General Data Protection Regulation (GDPR) da União Europeia e da LGPD brasileira.

De forma bastante simplificada, o sistema parte da necessidade de implementação pelas empresas de um programa de compliance que envolve as seguintes etapas: (i) mapeamento dos dados pessoais tratados na operação e para o negócio; (ii) criação da política de privacidade e de segurança da informação; (iii) criação de mecanismos de controles internos para a proteção da privacidade e de resposta na hipótese de violação; (iv) conscientização e treinamento; (v) monitoramento contínuo.

Importante observar que não existe uma fórmula única para esse programa. A ANPD, entidade criada pela LGPD, publicou um checklist que deve servir para as empresas se autoavaliarem sobre a adequação do seu programa de compliance para a proteção de dados pessoais e segurança da informação. Esse sistema traz consigo, porém, um grande problema e um grande desafio, aos quais a recente resolução da ANPD procura fazer frente: a existência de um regramento único para realidades muito distintas.

Como exigir programas de compliance com a mesma complexidade para big techs e pequenas empresas? Mais do que uma incoerência, seria inconstitucional, pois a própria Constituição Federal prevê a necessidade de tratamento diferenciado para as pequenas companhias a fim de facilitar sua instalação e operação.

Mesmo não sendo big techs, as startups, enquadradas como pequenas empresas, têm o dado como insumo de seu modelo de negócios. Por isso, precisam ter um cuidado redobrado com privacidade e segurança da informação. O privacy by design deve, portanto, ser parte do plano de negócios. E como dar tratamento diferenciado para as pequenas empresas e, ao mesmo tempo, monitorar e educar as startups em fase de adequação à necessidade de proteção dos dados pessoais?

Esse foi o objeto da Resolução n. 2, de 27 de janeiro de 2022, da ANPD, que traz um conjunto de regras que simplificam os procedimentos de adequação à LGPD e estabelece critérios para a elegibilidade das pequenas empresas que poderão se valer desse sistema simplificado.

Como critérios gerais, a companhia pode não ser beneficiada pelo regime facilitado de cumprimento da LGPD se no seu modelo de negócio houver: a) o tratamento de dados pessoais em larga escala; ou b) o tratamento de dados pessoais possa afetar significativamente interesses e direitos fundamentais dos titulares.

Como critérios específicos, com a presunção de maior risco no tratamento de dados pessoais, encontram-se as empresas que envolvem em seus modelos de negócio: a) uso de tecnologias emergentes ou inovadoras; b) a vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; d) utilização de dados pessoais sensíveis ou de crianças, adolescentes ou idosos.

Em suma, a ANPD presume que a operação de um modelo de negócio que trate dados pessoais em larga escala envolvendo decisões tomadas unicamente de modo automatizado, por exemplo, mesmo que seja uma pequena empresa ou startup, pode trazer risco aos titulares no tratamento dos seus dados. Essa empresa, portanto, deverá se valer dos procedimentos da LGPD em sua plenitude para a operação, não sendo admissível o emprego do sistema simplificado para comprovação da conformidade.

Uma vez reforçadas as razões para que as empresas adotem programas de compliance de proteção de dados pessoais e de segurança da informação, e compreendida a importância da resolução da ANPD para as pequenas empresas e startups elegíveis ao sistema simplificado, é importante, por fim, esclarecer as simplificações trazidas pela resolução.

Um dos pontos de maior complexidade para a implementação de qualquer mecanismo de compliance é o seu sistema de registro, que demanda investimentos. Isso não é diferente no compliance de proteção de dados pessoais e de segurança da informação. Nesse sentido, a grande facilitação trazida pela ANPD é, justamente, a indicação de um modelo de registro de atividade de tratamento simplificado, que facilita a autoavaliação sobre conformidade da pequena empresa e a sua comprovação perante a autoridade competente.

A segunda boa notícia é: no caso de incidentes, como identificação de vazamento de dados pelas empresas, haverá uma regulação para comunicação de incidentes com prazos diferenciados, ainda a ser publicada, que dará maior mobilidade para as empresas entenderem a situação e tomarem as diligências necessárias sem riscos com prazos exíguos, adequados para as big techs mas não para pequenas empresas.

A LGPD também trouxe a necessidade de se ter um encarregado de dados (DPO), responsável pela representação da empresa quanto a dados pessoais. A resolução permite que essa figura possa ser substituída por um canal de comunicação. Por fim, tem-se uma simplificação na exigibilidade quanto às políticas de segurança da informação e proteção de dados pessoais, que passam a ser uma recomendação de boas práticas a serem adotadas.

Certamente, com a resolução da ANPD, o ambiente para pequenas empresas e startups passa a ter uma maior clareza quanto aos procedimentos e custos para a implementação dos seus programas de compliance. Mas apesar dessa importante simplificação de sistema, ainda é importante que pequenos empresários e startups tenham a consciência de que na economia da informação, na qual os dados dos prosumers são o novo petróleo, privacy by design é sempre a melhor forma de relação das empresas com o tratamento dos dados pessoais. E aqui vale outro jargão de mercado: se você acha o compliance custoso, não ter compliance pode custar bem mais!