LGPD: Regulamentação para startups e outros nove pontos estão na agenda bienal da ANPD

A regulamentação específica para startups, microempresas e empresas de pequeno porte, prevista na Lei Geral de Proteção de Dados (LGPD), deve começar no primeiro semestre de 2021.

É o que prevê a portaria com a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD), divulgada no dia 28 de janeiro, que inclui ainda outros nove pontos de regulamentação.

A portaria contempla o cronograma regulatório da autoridade para os próximos dois anos. O documento foi publicado justamente no Dia Internacional da Proteção de Dados, data que marca o estímulo à conscientização a respeito da privacidade e da proteção de dados pessoais.

A advogada especialista em proteção de dados da Get Privacy, Viviane Vinagre, destaca que a regulamentação específica é um dos pontos mais esperados pelo mercado.

“Mais de 70% dos empreendimentos que temos no Brasil são de natureza pequena. As necessidades e pontos de dor desse grupo são diferentes de uma grande empresa de tecnologia, por exemplo, e as normas têm que vir adaptadas ao setor”, afirma.

Pontos de regulamentação e prazos previstos na agenda da ANPD

Conforme mencionado, além da regulamentação para startups, microempresas e empresas de pequeno porte, a agenda regulatória inclui ainda outros nove pontos.

O cronograma está dividido em três fases, que preveem o início do processo regulatório para cada item.

Fase 1: início do processo em até um ano;
Fase 2: início do processo em até um ano e seis meses;
Fase 3: início do processo em até dois anos.

Confira abaixo cada um dos pontos previstos no cronograma da ANPD.

1) Regimento interno da ANPD (fase 1)

O primeiro item previsto na agenda é a publicação do regimento interno da ANPD. O cronograma não menciona uma data específica, mas prevê que o início do processo ocorra no primeiro semestre de 2021. Ou seja, dentro da fase 1 da agenda regulatória.

O regimento interno é um ponto previsto na LGPD. Ao estabelecer a criação da ANPD, a lei determinou também que o Conselho Diretor deve dispor sobre o seu regimento interno.

2) Planejamento estratégico da ANPD (fase 1)

Além do regimento interno, outro ponto de organização institucional importante previsto na agenda regulatória da ANPD é o planejamento estratégico de 2021-2023.

Este é um item que também está previsto para a fase 1, com previsão de início no primeiro semestre de 2021.

De acordo com a portaria, o planejamento deve conter os objetivos a serem alcançados pela ANPD, além dos prazos e ações estratégicas vinculadas.

3) Regulamentação específica para startups, microempresas e empresas de pequeno porte (fase 1)

Como mencionamos, esse é um dos pontos de regulamentação mais aguardados em termos de LGPD.

Veja só o que diz a lei:

“Art. 55-J. Compete à ANPD:

(…)

XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.

A inclusão dessa regulamentação diferenciada na agenda da ANPD é uma boa notícia, além de ser um passo importante para garantir a segurança jurídica do setor.

A agenda regulatória incluiu esse ponto na fase 1, com previsão de início no primeiro semestre de 2021.

Ainda não há indicação, no entanto, de quais normativas especificamente serão feitas pela autoridade nacional.

Porém, em entrevista ao JOTA, o presidente da ANPD, Waldemar Gonçalves Ortunho Junior, destacou que a autoridade está dialogando com o governo e com a sociedade para ouvir as demandas relativas às startups, microempresas e empresas de pequeno porte.

4) Direitos dos titulares de dados pessoais (fase 3)

Outro ponto incluído na agenda regulatória da ANPD é referente aos direitos dos titulares de dados pessoais. A regulamentação está prevista para a fase 3, começando no primeiro semestre de 2022.

Para relembrar, a LGPD estabelece uma série de direitos aos titulares de dados pessoais. São nove direitos principais, além de outros mencionados ao longo da lei.

Dentre eles, estão, por exemplo, o direito de confirmar a existência de tratamento e a revogação do consentimento para o tratamento de dados.

No entanto, diversos pontos referentes aos direitos dos titulares ainda precisam de regulamentação. Por exemplo, os prazos de resposta para solicitações feitas pelos titulares.

Esse ponto, inclusive, já foi abordado em artigo do advogado Jean Carlo Jacichen Luz, que destacou como a falta de regulamentação dificulta que as empresas estabeleçam seu plano de resposta às requisições dos titulares.

5) Estabelecimento de normativos para aplicação de sanções administrativas (fase 1)

Uma das responsabilidades previstas para a ANPD é a aplicação de sanções administrativas em casos de descumprimento da LGPD.

A lei prevê sanções como advertência e multa até a publicização da infração e a proibição da atividade, mas também estabelece determinados pontos que devem ser regulamentados pela autoridade nacional.

De acordo com a portaria publicada pela ANPD, essa regulamentação entrará na fase 1 do cronograma, com previsão de início no primeiro semestre de 2021.

O principal item em aberto diz respeito às sanções de multa. A LGPD prevê que a ANPD deve definir, por meio de um regulamento próprio sobre as sanções administrativas, a metodologia que vai orientar o cálculo do valor-base das multas.

Além disso, a regulamentação também estabelecerá as circunstâncias e as condições para a adoção de multa.

6) Comunicação de incidentes e especificação do prazo de notificação (fase 1)

O sexto ponto pendente de regulamentação que foi incluído na agenda da ANPD diz respeito aos incidentes de segurança.

De acordo com a LGPD, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Um incidente de segurança é qualquer acontecimento indesejado ou inesperado que possa comprometer a segurança dos dados pessoais. Mais precisamente, que possa expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Para essa comunicação, a ANPD ainda precisa regulamentar alguns itens, como prazo, além de definir a forma e conteúdo para o encaminhamento destas informações.

Essa regulamentação está prevista para a fase 1 da agenda regulatória, com início no primeiro semestre de 2021.

7) Relatório de Impacto à Proteção de Dados Pessoais (fase 1)

O Relatório de Impacto à Proteção de Dados Pessoais é um documento que deve ser feito pelo controlador antes de qualquer operação de tratamento de dados pessoais que possa gerar risco às liberdades civis e aos direitos fundamentais dos titulares.

Mais do que uma obrigação legal, o chamado RIPD resulta de um verdadeiro e complexo processo. Inclusive, configura boa prática para a mitigação de riscos de forma antecipada a um novo projeto, processo, produto ou serviço.

Por lei, o relatório deve descrever a operação prevista, a finalidade do tratamento, a avaliação dos riscos e os processos para mitigá-los.

A LGPD também prevê que compete à autoridade nacional editar regulamentos e procedimentos referentes a esse documento.

Portanto, a ANPD incluiu essa regulamentação na sua agenda regulatória. O item está previsto para a fase 1, com previsão de início no primeiro semestre de 2021.

8) Encarregado de proteção de dados pessoais (fase 2)

O cargo do Encarregado de Proteção de Dados Pessoais, também conhecido por sua sigla em inglês, DPO (Data Protection Officer), é hoje obrigatório para todas as empresas.

No entanto, a LGPD estabelece que a ANPD pode publicar normas complementares sobre a definição e as atribuições do encarregado, inclusive com hipóteses de dispensa em alguns casos.

A regulamentação, portanto, foi incluída no cronograma bienal da autoridade nacional. Ela está programada para a fase 2, com início previsto para o primeiro semestre de 2022.

Apenas para relembrar, o DPO ou encarregado é o indicado pelo controlador para atuar como uma ponte entre as empresas, os titulares dos dados pessoais e a ANPD. No entanto, na prática sua função vai além disso.

Ele tem um papel fundamental na adequação à LGPD, sendo o responsável por auxiliar e orientar as empresas nos processos relacionados à conformidade com a lei e à proteção de dados.

9) Transferência Internacional de Dados Pessoais (fase 2)

A transferência de dados pessoais para um país estrangeiro é regulada por uma série de critérios previstos na LGPD, e só pode ocorrer sob determinadas circunstâncias. No entanto, alguns pontos ainda precisam ser definidos pela ANPD.

Por isso, o item também foi incluído no cronograma da autoridade nacional. Está previsto para a fase 2, com início no primeiro semestre de 2022.

Para citar um exemplo, a LGPD determina que a transferência pode ocorrer para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei brasileira. Cabe à ANPD avaliar esse nível de proteção, com base em determinados critérios.

Além disso, a transferência também pode ocorrer quando o controlador comprovar garantias de cumprimento do regime de proteção previsto na LGPD. Isso pode ocorrer por meio de cláusulas contratuais específicas, cláusulas-padrão, normas corporativas globais, além de selos, certificados e códigos de conduta.

A definição do conteúdo das cláusulas e a verificação desses itens também deve ser feita pela ANPD, e está contemplada neste item da agenda regulatória.

10) Hipóteses legais de tratamento de dados pessoais (fase 3)

Por fim, o último ponto previsto no cronograma da ANPD diz respeito às hipóteses legais de tratamento de dados pessoais. Essa regulamentação está prevista para a fase 3, com início previsto para o segundo semestre de 2022.

De acordo com a portaria publicada pela autoridade, está prevista a publicação de um guia de boas práticas.

O documento orientará o público sobre as bases e as hipóteses legais de aplicação da LGPD sobre diversos temas, incluindo as hipóteses descritas no artigo 7º, mas não restritas a ele.

Vale lembrar que a LGPD menciona dez bases legais que justificam o tratamento de dados pessoais, incluindo consentimento e legítimo interesse.

A escolha da base legal em cada empresa deve ser feita com cuidado, após uma avaliação jurídica que leve em conta as especificidades do negócio.

Adequação à LGPD

A divulgação da agenda regulatória da ANPD é um alívio para todos que esperam as definições da autoridade a respeito de inúmeros pontos importantes da LGPD.

No entanto, independentemente das regulamentações pendentes, é importante destacar que a LGPD já está valendo, e a adequação é urgente.

As empresas devem iniciar o quanto antes seu programa de conformidade, adotando uma postura cautelosa e segura.

Para isso, podem contar com a ajuda de uma equipe multidisciplinar especializada em proteção de dados.

Este é o caso da Get Privacy, que atua com uma solução de ponta a ponta para a adequação à lei, atendendo as áreas de Assessoria Jurídica, Compliance e Segurança da Informação.

Fale conosco e veja como podemos ajudar a sua empresa!