Tratamento de dados pessoais de alto risco sobre agentes de pequeno porte

A LGPD (Lei Geral de Proteção de Dados), tal como sua fonte de inspiração, o regulamento europeu de proteção de dados, é uma lei de abordagem baseada no risco (risk based approach).

Adicionalmente, a lei impõe que o agente de tratamento deverá ser capaz de demonstrar a eficácia das medidas que decidir adotar em face dos riscos.

Neste contexto, é de suma importância que o agente dê atenção às atividades de tratamento de alto risco que já realiza ou que pretenda realizar.

Avaliar e gerenciar o risco das atividades de tratamento é promover a proteção do titular de dados pessoais, significa considerar as questões de privacidade e proteção de dados desde a concepção de projetos, processos, produtos e serviços, e não como uma reflexão meramente formal apenas ao final do desenvolvimento, quando já tiverem sido empregados esforços e investimentos.

O desafio, contudo, reside na efetiva identificação da atividade de tratamento que for suscetível de implicar em alto risco aos titulares.

Em janeiro deste ano a Autoridade Nacional de Proteção de Dados (ANPD) trouxe os requisitos desta identificação na Resolução CD/ANPD nº 2 de 2022, que tratou do regulamento de aplicação da LGPD para os chamados "agentes de tratamento de pequeno porte", categoria que engloba, dentre outros, microempresas, empresas de pequeno porte e startups.

Este texto opinativo, porém, não se ocupa da abordagem aos agentes de pequeno porte, mas do tratamento de alto risco incorporado na referida resolução.

Em que pese destinada a abordar regras específicas aos qualificados agentes de pequeno porte, o tema é sensível e mais abrangente do que isso, pois, reflete em temas que interessam a qualquer agente, tais como: definição pela elaboração de relatório de impacto à proteção de dados pessoais (RIPD); avaliação da gravidade de incidentes de segurança com dados pessoais e averiguação da obrigação de sua comunicação (ou não) à Autoridade e titulares afetados.

Tratamento de alto risco segundo a ANPD
A referida resolução nº 2 estabeleceu regime jurídico diferenciado aos qualificados agentes de tratamento de pequeno porte por meio de dispensa e flexibilização de algumas das obrigações da LGPD, tais como a possibilidade de realizar o registro simplificado das operações de tratamento e a dispensa da obrigatoriedade da nomeação de Encarregado.

Seu texto acabou abarcando também os requisitos da identificação do tratamento de dados de alto risco, elemento que serve para definir a exclusão do agente que o realiza ao referido regime diferenciado.

Esta identificação é auferida por meio da verificação do tratamento de dados que atender, cumulativamente, a pelo menos um critério geral e um critério específico, conforme definidos pela mesma resolução.

Possivelmente reconhecendo a complexidade de sua aplicação, a resolução refere ainda à possibilidade de a ANPD disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

Justamente em razão desta previsão que a ANPD abriu tomada de subsídios, disponibilizada até o dia 28 de outubro, a fim de publicar guia com orientações a este respeito.

Não obstante a ANPD refira-se, em publicação de seu site eletrônico [1], que as futuras orientações "visam auxiliar os agentes de tratamento de pequeno porte na avaliação quanto ao tratamento de dados pessoais por eles realizado", a questão não se limita a estes, conforme apontado, e deve ser dada a devida atenção por todos os demais agentes, que serão afetados.

Assim, mesmo que a abordagem do tratamento de alto risco esteja vinculada à exclusão do agente de pequeno porte ao regime diferenciado de proteção de dados, a questão interessa e impacta a qualquer agente de tratamento, de direito privado e de direito público, refletindo-se sobre outros pontos que a autoridade venha a se posicionar futuramente, inclusive em sede de decisões em processos administrativos.

Tratamento suscetível de implicar um elevado risco no contexto europeu
Para complementar a análise proposta, importa trazer a perspectiva europeia do tratamento "suscetível de implicar um elevado risco para os direitos e liberdades do titular dos dados".

Nos termos do Regulamento Geral de Proteção de Dados da União Europeia, este tipo de tratamento é importante para definir, dentre outros aspectos, a necessidade de realização de uma avaliação de impacto sobre a proteção de dados, bem como para definir pela comunicação de uma violação de dados ao titular.

A identificação deste tipo de tratamento, por sua vez, veio abordada nas orientações do extinto Grupo de Trabalho do Artigo 29 relativas à Avaliação de Impacto sobre a Proteção de Dados [2] (AIPD ou DPIA, data protection impact assessment, no inglês), endossadas pelo atual Comitê Europeu de Proteção de Dados [3].

Em suma, as orientações trazem que não é obrigatório realizar uma avaliação de impacto para todas as operações de tratamento, mas apenas quando este for "suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares".

Para além dos casos em que o GDPR define expressamente a obrigatoriedade da realização da avaliação de impacto (artigo 35, nº 3), a identificação do tratamento com elevado risco inerente, segundo as referidas orientações, deve ser feita considerando nove critérios.

Considera-se que quanto maior o número de critérios satisfeitos pela operação de tratamento, maior é a probabilidade de este ser suscetível de implicar um elevado risco aos titulares e, por consequência, necessitar da realização de uma AIPD, o que não impede o agente de tratamento de considerar que a satisfação de apenas um dos critérios demande o mesmo.

É digno de nota que a identificação do tratamento de elevado risco surge, de forma mais apropriada, em orientações sobre tema mais abrangente – a realização de uma AIPD/DPIA — do que restritas a regulamentação sobre determinado tipo de agente de tratamento.

Ultrapassada a tomada de subsídios, e agora?
A abrangência da aplicação da LGPD exige a conformidade de agentes de tratamento de todos os setores econômicos, público e privado, tornando necessária a apreciação das particularidades de cada setor.

Não se pode negar a grande relevância da iniciativa da ANPD em editar regulamentação que contemple as particularidades de determinados tipos de agentes de tratamento.

Por outro lado, deve-se ter em conta que a já vigente Resolução nº 2 da ANPD, ao definir os requisitos para a identificação do tratamento de dados de alto risco, ainda que regulamente o regime diferenciado aos agentes de pequeno porte, tem o potencial de irradiar os efeitos de sua interpretação para muito além desta mesma regulamentação.

Por consequência, tais efeitos interessam a todo e qualquer agente de tratamento, de pequeno porte ou não, de direito público e privado, independente do segmento de atividade.

A oportunidade de envio de contribuições pela sociedade civil à tomada de subsídios já encerrou neste 28 de outubro, mas o tema ainda será pauta relevante por muito mais tempo conforme a ANPD debruça-se sobre outros desdobramentos e aprofunda a regulamentação de proteção de dados brasileira.

Por tudo isso espera-se que o futuro guia a ser publicado pela ANPD sobre a identificação do tratamento de alto risco não esteja limitado ao alcance de avaliar se o agente faz jus ou não ao regime diferenciado da Resolução nº 2.