A proposta será debatida com o mercado numa audiência pública entre os dias 14 e 15 de setembro. A medida também será válida para organizações sociais sem fins lucrativos.
Entretanto, de acordo com os Advogados Danilo Doneda e Débora Sirotheau, igrejas, partidos políticos e ONGs não estão automaticamente liberados do DPO. Há exceções, como os descritos no Artigo 3º da proposta da ANPD:
Art. 3º A dispensa e a flexibilização das obrigações previstas nesta resolução não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, ressalvada a hipótese prevista no art. 13, Parágrafo único.
§ 1º Para fins desta resolução, será considerado tratamento de alto risco para os titulares, entre outras hipóteses, o tratamento que envolva:
I – dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
II – vigilância ou controle de zonas acessíveis ao público;
III – uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
IV – tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Proposta
No geral a ANPD propõe a dispensa do Encarregado de Proteção de Dados nos seguintes casos:
I – microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006;
II – startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021;
III – pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;
IV – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno
porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas
naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo
obrigações típicas de controlador ou de operador;
V – zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
A proposta da ANPD também informa que as startups beneficiadas com a dispensa do encarregado de proteção de dados são aquelas cuja receita bruta alcance até R$ 16 milhões, ou R4 1,3 milhão/mês; “multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses, independentemente da forma societária adotada”.
Entretanto, essa dispensa não será para aquelas empresas que realizem tratamento de alto risco e em larga escala para os titulares. O órgão informa que poderá mudar o enquadramento das empresas após ação fiscalizatória.
Os seguintes casos não poderão gozar da dispensa do “DPO”:
I – dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;
II – vigilância ou controle de zonas acessíveis ao público;
III – uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou
IV – tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Os encarregados de tratamento de dados dessas pequenas empresas poderão responder perante a ANPD através da ajuda de “entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados”.
Veja a íntegra da proposta da ANPD que será debatida em audiência pública.