A Resolução 02/ANPD/2022 que flexibiliza a LGPD tem uma aplicação muito restritiva e pode não ser uma boa alternativa para Pequenas e Médias Empresas.
O primeiro ponto que precisa ser esclarecido diz respeito a suposta aplicação automática da Resolução, ou seja, basta ser pequena ou média empresa; startup; condomínio; igreja ou profissional liberal, para aplicar a resolução. Não é bem assim.
Existem requisitos para usar dos supostos benefícios da Resolução, portanto, aplicar a Resolução de forma automática sem comprovar os requisitos, terá como consequência, a violação da LGPD.
O Segundo ponto é sobre os “supostos benefícios” da resolução.
A flexibilização da Resolução 02 consiste em:
– Poder criar uma entidade de representação empresarial para fins de negociação, conciliação e mediação de reclamações apresentadas pelos titulares;
– Usar um Inventário de Dados simplificado;
– Poder fazer as comunicações de incidentes de segurança para a ANPD de forma simplificada;
– Dispensa de ter um DPO (Encarregado);
– Poder utilizar o Guia Orientativo: Segurança da Informação para Agentes de Tratamento de Pequeno Porte da ANPD
– Ter uma Política simplificada de Segurança da Informação;
– Prazo em dobro para atender solicitações dos titulares e para comunicar incidentes para a ANPD.
Analise
Qual a relação custo X benefício de criar mais uma entidade representativa? As organizações precisarão analisar a operacionalização desta demanda e verificar se de fato, é uma boa medida. Sobre o Inventário de Dados simplificado, não vemos nenhuma vantagem para as PME que já implementaram a LGPD. Sobre a dispensa de um DPO (Encarregado), que não precisa ser fixo da empresa, pode ser as-a-service ou operação assistida, importante esclarecer que não se pode ignorar o art. 6º da Resolução que é claro em dizer que, mesmo adotando a flexibilização, as PME devem obedecer a LGPD, reforçando no art. 7º que – devem disponibilizar informações aos titulares e atender os titulares.
Sendo assim, os administradores deverão se questionar: Quem vai fazer isso se não tiver o DPO?
E ainda, retornando ao documento Inventário de Dados simplificado (art. 9º), quem vai atualiza-lo se for dispensado o DPO?
Outra questão que deve ser analisada com cautela é a comunicação de incidentes para a ANPD. Essa tarefa é importante, e deve ser realizada via sistema de Peticionamento Eletrônico (SEi), que compreende: estar apto a fornecer as informações, anexar documentos com metadados, com certificação digital dentro do prazo de 4 dias ou de 2 dias, se o incidente comprometer a integridade moral dos titulares. Portanto, sem DPO, o administrador deverá selecionar alguém, dentro da empresa, que possa: identificar o que é um incidente capaz de comprometer a integridade moral de uma pessoa; analisar se foram atendidas as medidas mínimas de Segurança da Informação, entre outras necessidades que demandam conhecimento específico da legislação e da operação em que atua.
Então, observem que as notícias que se espalham pela internet de que a Resolução 02/ANPD é um grande passo e “alento” para as PME parece não ser bem assim.
Agora que analisamos as supostas vantagens, vamos voltar aos requisitos para usar a resolução.
Além dos critérios de receita bruta estabelecidos no art. 3º da Resolução, é necessário que as PME sejam excluídas dos requisitos do art. 4º que trata do tratamento de alto risco.
Como se faz isso? A resposta está no art. 5º da Resolução: comprovação documentada. E isso só é possível através de uma análise de risco.
Ou seja, o que antes, poderia não ser necessário, dependendo da natura da organização, agora passa a ser obrigatório caso a PME deseje aplicar os tais benefícios da resolução.
Concluindo, usar ou não a Resolução 02/ANPD/2022 passa a ser uma decisão estratégica da organização que deve analisar muito bem a relação custo X benefício, e mais: deve analisar seu planejamento estratégico observando que, ter um programa de Proteção e Privacidade de Dados (P&PD) pode lhe garantir maior destaque nas relações contratuais (melhor posição no mercado) e que, um bom programa de P&PD não necessita ser algo extraordinário e complexo, tudo depende do modelo de negócio e do resultado do data mapping.
Responsabilidade: Texto escrito e Fabio Rods
