AGOSTO/2021
RELATÓRIO DE ANÁLISE DE IMPACTO
REGULATÓRIO
CONSTRUÇÃO DO MODELO REGULATÓRIO PARA APLICAÇÃO DA LGPD A
MICROEMPRESAS E EMPRESAS DE PEQUENO PORTE, STARTUPS E PESSOAS FÍSICAS
QUE TRATAM DADOS PESSOAIS
Página 2 de 74
RELATÓRIO DE ANÁLISE DE IMPACTO
REGULATÓRIO
CONSTRUÇÃO DO MODELO REGULATÓRIO PREVISTO PARA APLICAÇÃO DA LGPD A
MICROEMPRESAS E EMPRESAS DE PEQUENO PORTE, STARTUPS E PESSOAS FÍSICAS
QUE TRATAM DADOS PESSOAIS
ELABORADO POR:
ISABELA MAIOLINO – CGN/ANPD
RODRIGO SANTANA DOS SANTOS – CGN/ANPD
Nota:
Esse Relatório de Análise de Impacto Regulatório é um
instrumento de análise técnica, cujas informações e
conclusões são fundamentadas nas análises
promovidas pela equipe técnica da ANPD responsável
pelo tema. Assim, não reflete necessariamente a
posição final e oficial da ANPD, que somente se firma
pela decisão de seu Conselho Diretor.
Página 3 de 74
SUMÁRIO

  1. INTRODUÇÃO……………………………………………………………………………………………………………………………….5
  2. TOMADA DE SUBSÍDIOS ………………………………………………………………………………………………………………..5
  3. ANÁLISE DE IMPACTO REGULATÓRIO……………………………………………………………………………………………..7
    3.1 TEMA 1 – DEFINIÇÃO DE MICROEMPRESA, EMPRESA DE PEQUENO PORTE E STARTUP ………………….8
    3.1.1 RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO………………………………………………………………..8
    3.1.1.1 Introdução………………………………………………………………………………………………………………….8
    3.1.1.2 Quais os problemas a serem solucionados? ……………………………………………………………………8
    3.1.1.3 A Autoridade tem competência para atuar sobre os problemas?…………………………………….13
    3.1.1.4 Existe experiência internacional?…………………………………………………………………………………13
    3.1.1.5 Quais os objetivos da ação? Por que a intervenção regulatória é necessária? …………………..14
    3.1.1.6 Quais os grupos afetados? ………………………………………………………………………………………….15
    3.1.2 ANÁLISE DAS ALTERNATIVAS……………………………………………………………………………………………..15
    3.1.2.1 Quais são as opções regulatórias consideradas para o tema?………………………………………….15
    3.1.2.2 Alternativa A – Aplicação da norma pelo faturamento e pelo volume de dados tratados …..17
    3.1.2.3 Alternativa B – Aplicação da norma em razão do risco……………………………………………………18
    3.1.3 CONCLUSÃO E ALTERNATIVA SUGERIDA……………………………………………………………………………..19
    3.1.3.1 Qual a conclusão da análise realizada? …………………………………………………………………………19
    3.1.3.2 Como será operacionalizada a alternativa sugerida? ……………………………………………………..22
    3.1.3.3 Como a alternativa sugerida será monitorada?……………………………………………………………..24
    3.2 TEMA 2 – CONFORMIDADE DAS OBRIGAÇÕES DA LGPD PELAS MICROEMPRESAS, EMPRESAS DE
    PEQUENO PORTE E STARTUPS E PESSOAS FÍSICAS QUE TRATAM DADOS PESSOAIS ………………………….24
    3.2.1 RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO………………………………………………………………24
    3.2.1.1 Introdução………………………………………………………………………………………………………………..24
    3.2.1.2 Quais os problemas a serem solucionados……………………………………………………………………25
    3.2.1.3 A Autoridade tem competência para atuar sobre os problemas?…………………………………….27
    3.2.1.4 Existe experiência internacional?…………………………………………………………………………………27
    3.2.1.5 Quais os objetivos da ação? Por que a intervenção regulatória é necessária? …………………..32
    3.2.1.6 Quais os grupos afetados? ………………………………………………………………………………………….33
    3.2.2 ANÁLISE DAS ALTERNATIVAS……………………………………………………………………………………………..34
    3.2.2.1 Quais são as opções regulatórias consideradas pelo tema?…………………………………………….34
    3.2.3 CONCLUSÃO E ALTERNATIVA SUGERIDA……………………………………………………………………………..53
    3.2.3.1 Qual a conclusão da análise realizada? …………………………………………………………………………53
    3.2.3.2 Como será operacionalizada a alternativa sugerida? ……………………………………………………..54
    Página 4 de 74
    3.2.3.3 Como a alternativa sugerida será monitorada?……………………………………………………………..58
    3.3 TEMA 3 – SEGURANÇA DA INFORMAÇÃO PARA PROTEÇÃO DE DADOS PESSOAIS E BOAS PRÁTICAS
    ………………………………………………………………………………………………………………………………………………….59
    3.3.1 RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO………………………………………………………………59
    3.3.1.1 Introdução………………………………………………………………………………………………………………..59
    3.3.1.2 Quais os problemas a serem solucionados? ………………………………………………………………….63
    3.3.1.3 A Autoridade tem competência para atuar sobre os problemas?…………………………………….63
    3.3.1.4 Existe experiência internacional?…………………………………………………………………………………64
    3.3.1.5 Quais os objetivos da ação? Por que a intervenção regulatória é necessária? …………………..65
    3.3.1.6 Quais os grupos afetados? ………………………………………………………………………………………….65
    3.3.2. ANÁLISE DAS ALTERNATIVAS…………………………………………………………………………………………….66
    3.3.2.1 Quais são as opções regulatórias consideradas para o tema?………………………………………….66
    3.3.3 CONCLUSÃO E ALTERNATIVA SUGERIDA……………………………………………………………………………..70
    3.3.3.1 Qual a conclusão da análise realizada? …………………………………………………………………………70
    3.3.3.2 Como será operacionalizada a alternativa sugerida? ……………………………………………………..70
    3.3.3.3 Como a alternativa sugerida será monitorada?……………………………………………………………..71
  4. CONCLUSÃO……………………………………………………………………………………………………………………………….72
    Página 5 de 74
  5. INTRODUÇÃO1
    A Agenda Regulatória da Autoridade Nacional de Proteção de Dados (ANPD) aprovada para
    o ciclo 2021-2022 por meio da Portaria nº 11, de 27 de janeiro de 2021, incluiu dentre os seus temas
    prioritários o projeto regulatório relacionado à proteção de dados e da privacidade para pequenas
    e microempresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos.
    A Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD),
    prevê uma especial atenção às microempresas e empresas de pequeno porte, estabelecendo como
    competência da ANPD a edição de normativo sobre o assunto, conforme prevê o art. 55-J, inciso
    XVIII, in verbis:
    Art. 55-J. Compete à ANPD:
    (…)
    XVIII – editar normas, orientações e procedimentos simplificados e diferenciados,
    inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte,
    bem como iniciativas empresariais de caráter incremental ou disruptivo que se
    autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;

O presente Relatório de Análise de Impacto Regulatório (AIR) avaliará os possíveis modelos
regulatórios que podem ser constituídos para endereçar a previsão do art. 55-J, inciso XVIII,
considerando, dentre outros aspectos, a garantia aos direitos dos titulares e aspectos como a
natureza e o porte da entidade, o tipo do dado e o volume das operações de tratamento, bem como
o estímulo à inovação, à digitalização e ao desenvolvimento econômico.

  1. TOMADA DE SUBSÍDIOS
    No dia 29 de janeiro de 2021, a ANPD publicou a Tomada de Subsídios nº 1/2021, nos termos
    da Nota Técnica nº 1/2021/CGN/ANPD (SEI nº 2361168), e estabeleceu um prazo de 30 dias para
    envio de contribuições. Para tanto, a ANPD disponibilizou em seu sítio eletrônico um formulário
    com os seguintes questionamentos:
    (i) Quais são os desafios/problemas regulatórios relacionados ao tema?
    (ii) Existem sugestões para endereçamento do problema?
    (iii) Quais são as oportunidades relacionadas ao tema?
    1 O presente relatório de Análise de Impacto Regulatório contou com as contribuições de Adriana Macedo Marques, exservidora da ANPD.
    Página 6 de 74
    (iv) Quais são as experiências internacionais sobre o tema?
    (v) Quais são os critérios que deveriam ser considerados na definição de agentes de
    tratamento de dados de pequeno porte?
    (vi) Como a União Europeia tem atuado para que agentes de tratamento de dados de
    pequeno porte estejam em conformidade com a General Data Protection Regulation
    (GDPR)?
    (vii) Quais são os impactos para agentes de pequeno porte da manutenção do registro das
    operações de tratamento de dados pessoais?
    (viii) Quais são os impactos da nomeação de um encarregado de dados aos agentes de
    pequeno porte?
    (ix) Quais são os impactos da elaboração do relatório de impacto à proteção de dados
    pessoais aos agentes de pequeno porte?
    (x) Quais são os impactos da implementação do tratamento de dados, inclusive sensíveis e
    de crianças e de adolescentes, em conformidade com a LGPD aos agentes de pequeno
    porte?
    (xi) Quais são os impactos da implementação do programa de governança de dados aos
    agentes de pequeno porte?
    (xii) Quais são os impactos da implantação de política de segurança relativa à proteção de
    dados pessoais aos agentes de pequeno porte?
    (xiii) Quais são os impactos da implantação de avaliação sistemática de riscos à privacidade
    dos dados aos agentes de pequeno porte?
    (xiv) Quais são os impactos da implantação da portabilidade de dados pessoais aos agentes
    de pequeno porte?
    (xv) Qual instrumento regulatório poderia ser utilizado para promover e incentivar a
    inovação nos agentes de pequeno porte?
    Página 7 de 74
    Foram recebidas 65 contribuições no prazo estipulado, contando com a participação de
    órgãos governamentais, entidades da sociedade civil, organismos de pesquisa, escritório de
    advocacia, associações e agentes de tratamento, como apresentado na figura a seguir:
    Figura 1 – Resumo da participação na Tomada de Subsídios nº 1/2021
    Fonte: Elaborado pela Coordenação-Geral de Normatização/ANPD
    Além disso, ao longo da instrução processual e estudo do tema, a Coordenação-Geral de
    Normatização realizou reuniões com a empresa SpotMetrics (SEI nº 2406977); com a Lima &
    Feigelson Advogados (SEI nº 2408404); com a Data Privacy Brasil (SEI nº 2408845); com a Tudo sobre
    IoT (SEI nº 2408850); com representantes do Ministério da Economia, da Confederação Nacional da
    Indústria (CNI) e da Confederação Nacional de Jovens Empresários (CONAJE) (SEI nº 2559642); e
    com a Encarregada de dados do Ministério da Justiça de Portugal, a senhora Inês Oliveira (SEI nº
    2483124).
  2. ANÁLISE DE IMPACTO REGULATÓRIO
    A flexibilização da aplicação da LGPD para microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais acaba por envolver várias obrigações
    estabelecidas pela referida lei. Além disso, a LGPD não conceitua o que seria microempresa e
    pequena empresa para fins da legislação.
    Página 8 de 74
    Diante disso, optou-se por dividir a presente análise em 3 (três) grandes temas: (i) definição
    de microempresa, empresa de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    para fins de aplicação da norma; (ii) conformidade em relação às obrigações da LGPD; e (iii)
    segurança da informação.
    Tendo em vista a complexidade do tema, foi inserido um último tópico apresentando uma
    síntese das conclusões e alternativas sugeridas ao longo deste relatório de AIR.
    3.1 TEMA 1 – DEFINIÇÃO DE MICROEMPRESA, EMPRESA DE PEQUENO PORTE E STARTUP
    3.1.1 RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO
    3.1.1.1 Introdução
    Conforme já mencionado, ao dispor sobre as competências da ANPD, o art. 55-J, XVIII da
    LGPD previu que compete à ANPD editar normas específicas, com procedimentos simplificados e
    diferenciados para que microempresas e empresas de pequeno porte, bem como iniciativas
    empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de
    inovação, possam adequar-se à LGPD.
    Adicionalmente, convém citar a previsão de tratamento diferenciado prevista no Estatuto
    Nacional da Microempresa e da Empresa de Pequeno Porte, aprovado pela Lei Complementar nº
    123, de 14 de dezembro de 2006 (Lei Complementar nº 123/2006), que, no art. 1º, §3º, garante que
    toda nova obrigação que atingir as microempresas e empresas de pequeno porte deve especificar,
    no instrumento que a instituiu, o tratamento diferenciado, simplificado e favorecido para o
    cumprimento.
    Além disso, a Lei Complementar nº 182, de 1º de junho de 2021, que instituiu o marco legal
    das startups (Lei Complementar nº 182/2021), também prevê um tratamento diferenciado para
    essas entidades.
    No entanto, não há, hoje, definição do que é esse grupo de empresas para fins de aplicação
    da LGPD, como será visto a seguir.
    3.1.1.2 Quais os problemas a serem solucionados?
    Muito embora a LGPD determine a edição de normas diferenciadas para esse grupo, não
    consta entre os conceitos do art. 5º da referida lei a definição de microempresa ou de empresa de
    Página 9 de 74
    pequeno porte. Consequentemente, a regulamentação editada deve esclarecer quais critérios serão
    considerados pela ANPD ao editar normas, orientações e procedimentos simplificados e
    diferenciados, no intuito de atender o poder/dever do art. 55-J, XVIII da LGPD.
    A identificação de critérios adequados é importante para que as normas e procedimentos
    simplificados incidam corretamente ao grupo ao qual se destina, considerando, entre outros
    aspectos, a garantia aos direitos dos titulares, o impacto financeiro que as obrigações da LGPD
    podem gerar nos agentes de tratamento de dados e o estímulo à inovação, à digitalização e ao
    desenvolvimento econômico.
    Dentre as definições já estabelecidas pelo ordenamento brasileiro, vale citar que a Lei
    Complementar nº 123/2006 conceituou essas empresas em função de sua receita bruta anual,
    sendo esse um critério feito sob medida para atender o objeto e as disposições da referida lei:
    Art. 3º Para os efeitos desta Lei Complementar, consideram-se microempresas
    ou empresas de pequeno porte, a sociedade empresária, a sociedade simples, a
    empresa individual de responsabilidade limitada e o empresário a que se refere o
    art. 966 da Lei no 10.406, de 10 de janeiro de 2002 (Código Civil), devidamente
    registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas
    Jurídicas, conforme o caso, desde que:
    I – no caso da microempresa, aufira, em cada ano-calendário, receita bruta igual ou
    inferior a R$ 360.000,00 (trezentos e sessenta mil reais); e
    II – no caso de empresa de pequeno porte, aufira, em cada ano-calendário, receita
    bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a
    R$ 4.800.000,00 (quatro milhões e oitocentos mil reais). (Redação dada pela Lei
    Complementar nº 155, de 2016) [Grifamos]
    No que se refere às iniciativas empresariais de caráter incremental ou disruptivo que se
    autodeclarem startups ou empresas de inovação, a Lei Complementar nº 123/2006 assim dispôs:
    Art. 65-A. (…).
    § 1º Para os fins desta Lei Complementar, considera-se startup a empresa de
    caráter inovador que visa a aperfeiçoar sistemas, métodos ou modelos de negócio,
    de produção, de serviços ou de produtos, os quais, quando já existentes,
    caracterizam startups de natureza incremental, ou, quando relacionados à criação
    de algo totalmente novo, caracterizam startups de natureza disruptiva.
    § 2º As startups caracterizam-se por desenvolver suas inovações em condições de
    incerteza que requerem experimentos e validações constantes, inclusive mediante
    comercialização experimental provisória, antes de procederem à comercialização
    plena e à obtenção de receita.
    (…)
    § 4º Os titulares de empresa submetida ao regime do Inova Simples preencherão
    cadastro básico com as seguintes informações:
    (…)
    Página 10 de 74
    II – descrição do escopo da intenção empresarial inovadora e definição da razão
    social, que deverá conter obrigatoriamente a expressão “Inova Simples (I.S.)”;
    [Grifamos]
    A Lei Complementar nº 182/2021 também enquadra as startups com base em seu
    faturamento, dentre outros critérios, conforme o seu art. 4º:
    Art. 4º São enquadradas como startups as organizações empresariais ou
    societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela
    inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados.
    § 1º Para fins de aplicação desta Lei Complementar, são elegíveis para o
    enquadramento na modalidade de tratamento especial destinada ao fomento
    de startup o empresário individual, a empresa individual de responsabilidade
    limitada, as sociedades empresárias, as sociedades cooperativas e as sociedades
    simples:
    I – com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no anocalendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três
    mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de
    atividade no ano-calendário anterior, quando inferior a 12 (doze) meses,
    independentemente da forma societária adotada;
    (…) [Grifamos]
    A título de exemplo, convém citar que diversos outros entes e órgãos da administração
    pública federal adotaram variados critérios para segmentar a aplicação de suas respectivas
    legislações.
    A Agência Nacional de Vigilância Sanitária (Anvisa)2
    , para efeitos de aplicação de taxas de
    fiscalização de vigilância sanitária, considerou seis categorias de porte de empresa (Grupos I a IV,
    empresa de pequeno porte e microempresa) com base no seu faturamento anual.
    A Agência Nacional de Telecomunicações (Anatel)3
    , para fins de aplicação de variadas
    obrigações regulatórias (relacionadas por exemplo ao direito do consumidor, à competição, à
    certificação e à outorga) estipulou três categorias de porte de prestadora de serviço de
    2 BRASIL. Lei nº 9.872/1999. Define o Sistema Nacional de Vigilância Sanitária, cria a Agência Nacional de
    Vigilância Sanitária, e dá outras providências.
    ANVISA. Porte de Empresa. Disponível em: https://www.gov.br/anvisa/ptbr/acessoainformacao/perguntasfrequentes/administrativo/porte-de-empresa. Acesso em: 22 abr. 2021.
    3 ANATEL. Resolução nº 600/2012. Aprova o Plano Geral de Metas de Competição (PGMC). Brasília, Disponível
    em: https://informacoes.anatel.gov.br/legislacao/resolucoes/2012/425-resolucao-600.
    ANATEL. Resolução nº 632/2014. Aprova o Regulamento Geral de Direitos do Consumidor de Serviços de
    Telecomunicações (RGC). Brasília, Disponível em:
    https://informacoes.anatel.gov.br/legislacao/resolucoes/2014/750-resolucao-632. Acesso em: 22 abr. 2021.
    Página 11 de 74
    telecomunicações (prestadora de grande porte, prestadora de pequeno porte e prestadoras com
    menos de 5.000 acessos), com base na participação de mercado nacional.
    A Agência Nacional de Aviação Civil (Anac)4
    , para fins de aplicação de diversas obrigações
    regulatórias (como a guarda de registros, as medidas de segurança, as comunicações à Anac)
    estipulou as categorias de empresas com base na participação no mercado relevante; de aeronaves
    com base na capacidade de carga (passageiros ou tonelagem) e de aeródromos com base nos tipos
    de voo (regulares e não-regulares) e de serviço (aviação comercial e aviação geral).
    O Instituto Brasileiro de Geografia e Estatística (IBGE)5
    , para fins de classificação das
    empresas, fixou categorias de empresas com base no seu número de empregados.
    O Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE)6
    , apesar de também
    usar o número de empregados, fixou parâmetros bem distintos. O porte do estabelecimento é
    definido em função do número de pessoas ocupadas e depende do setor de atividade econômica,
    sendo classificado em indústria ou comércio e serviços.
    O Banco Nacional de Desenvolvimento (BNDES)7
    , por sua vez, classifica as empresas em
    porte com base na receita operacional bruta anual.
    4 ANAC. Resolução nº 342/2014. Regulamenta os documentos e as demonstrações contábeis padronizadas a
    serem apresentados pelas empresas brasileiras que exploram os serviços aéreos públicos, assim como
    aspectos de sua escrituração contábil, e dá outras providências. Brasília, Disponível em:
    https://www.anac.gov.br/assuntos/legislacao/legislacao-1/resolucoes/resolucoes-2014/resolucao-no-342-
    de-09-09-2014/@@display-file/arquivo_norma/RA2014-0342%20-
    %20Compilado%20at%C3%A9%20RA2017-0454.pdf.
    ANAC. RBAC nº 153. Aeródromos – Operação, manutenção e resposta à emergência. Brasília, Disponível em:
    https://www.anac.gov.br/assuntos/legislacao/legislacao-1/rbha-e-rbac/rbac/rbac-153/@@displayfile/arquivo_norma/RBAC153EMD06.pdf. Acesso em: 22 abr. 2021.
    5
    IBGE. As Micro e pequenas empresas comerciais e de serviços no Brasil: 2001. Rio de Janeiro: IBGE, 2003, p
  3. https://www.ibge.gov.br/estatisticas/economicas/outras-estatisticas-economicas/9123-as-micro-epequenas-empresas-comerciais-e-de-servicos-no-brasil.html?=&t=notas-tecnicas ou
    https://biblioteca.ibge.gov.br/visualizacao/livros/liv1898.pdf
    6
    SEBRAE. Anuário do trabalho nos pequenos negócios: 2016. 9ed; DIEESE. São Paulo: DIEESE, 2018.
    https://www.sebrae.com.br/sites/PortalSebrae/estudos_pesquisas/empregodestaque13,46c9f925817b341
    0VgnVCM2000003c74010aRCRD ou https://www.sebrae.com.br/Sebrae/Portal Sebrae/Anexos/Anuário do
    Trabalho nos Pequenos Negócios 2016 VF.pdf
    7 BNDES. Guia do Financiamento. Disponível em:
    https://www.bndes.gov.br/wps/portal/site/home/financiamento/guia/porte-de-empresa. Acesso em: 22
    abr. 2021.
    Página 12 de 74
    Diante dos exemplos acima, é possível observar que os critérios costumam ser definidos
    segundo características que façam sentido tanto em função das obrigações que se pretende regular
    quanto em função da atividade econômica relevante que as empresas desempenham.
    Desse modo, além do porte econômico da empresa, a partir dos subsídios coletados por
    ocasião da Tomada de Subsídios nº 1/2021,
    8
    foram identificados outros critérios que devem ter sua
    adequação examinada pela ANPD para emprego na regulamentação, como, por exemplo:
    características da empresa (número de empregados, idade da empresa, natureza jurídica, ramo de
    atividade econômica), características dos dados tratados pelas empresas (dados comprados ou
    coletados, dados sensíveis, dados de criança e adolescente, dados sigilosos, dados de
    geolocalização, local de guarda); características do tratamento (finalidade, atividade regular ou
    esporádica, volume de dados, local de tratamento, tratamento sistemático, tratamento
    automatizado); e risco para o titular de dados (impacto sobre direitos e garantias fundamentais e
    sobre a privacidade), entre outros.
    Portanto, decidir se determinada empresa, para fins de aplicação da LGPD, deve ter acesso
    a procedimentos simplificados e diferenciados não é uma tarefa tão simples quanto poderia
    parecer. Adicionalmente, a diversidade e quantidade de critérios sinalizam, de maneira inequívoca,
    que microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados com
    fins econômicos constituem um universo heterogêneo de empresas sob os mais diversos aspectos.
    Tal heterogeneidade é compatível com o que se observa no panorama nacional das
    empresas. Segundo dados do SEBRAE9
    , as micro e pequenas empresas correspondem a 99% do total
    de empresas no Brasil, representam 29,5% do PIB nacional,são responsáveis por 55% dos empregos
    com carteira assinada e atuam em diferentes setores da economia (agropecuária, comércio,
    construção civil, indústria e serviços).
    8 Processo Sei nº 00261.000054/2021-37.
    9
    SEBRAE. Sebrae e Frente Parlamentar pactuam com Bolsonaro medidas para garantir a sobrevivência das
    MPE. Brasília, Agência Sebrae de Notícias. Disponível em:
    http://www.agenciasebrae.com.br/sites/asn/uf/NA/sebrae-e-frente-parlamentar-pactuam-com-bolsonaromedidas-para-garantir-a-sobrevivencia-das-mpe,c642c63524dc8710VgnVCM100000d701210aRCRD. Acesso
    em: 23 abr. 2021
    Página 13 de 74
    3.1.1.3 A Autoridade tem competência para atuar sobre os problemas?
    Nos termos do que dispõe o art. 55-J, XVIII da LGPD, a ANPD tem competência para editar
    normas específicas, com procedimentos simplificados e diferenciados, bem como os critérios de
    elegibilidade, para que microempresas e empresas de pequeno porte, bem como iniciativas
    empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de
    inovação, possam adequar-se à LGPD.
    3.1.1.4 Existe experiência internacional?
    A definição de microempresas e empresas de pequeno porte se dá, em grande parte, em
    função do contexto doméstico, da legislação aplicável, do cenário econômico e dos direitos dos
    titulares. Todavia, é sempre oportuno observar como a questão foi abordada em outros países para
    compreender qual foi o tratamento do tema em outras jurisdições.
    O tratamento conferido pela legislação da União Europeia ao disciplinar a proteção de dados
    pessoais e sua aplicação às microempresas e empresas de pequeno porte pode contribuir para o
    debate em direção a uma solução no Brasil, considerando a proximidade entre a LGPD e o
    Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia10
    .
    O RGPD, assim como a LGPD, não traz o conceito de microempresa e empresa de pequeno
    porte. No entanto, essa definição já existia e constava na Recomendação 2003/361/EC11, cujo artigo
    2º do anexo traçou os contornos para microempresas, empresas de pequeno porte e médias
    empresas. A categoria de microempresas e empresas de pequeno porte é constituída por empresas
    que tenham menos de 50 funcionários e receita anual não superior a €$ 10 milhões.
    Da mesma forma que a LGPD, o RGPD não isenta as microempresas e empresas de pequeno
    porte de cumprir as obrigações, mas prevê que suas peculiaridades sejam levadas em consideração
    (artigos 40.1 e 42.1, códigos de conduta e certificação).
    10 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à
    proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação
    desses dados. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A02016R0679-
  4. Acesso em: 23 abr. 2021.
    11 Commission Recommendation 2003/361/EC. Concerning the definition of micro, small and medium-sized
    enterprises. Disponível em: https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:en:PDF. Acesso em: 23 abr. 2021.
    Página 14 de 74
    A Austrália, por sua vez, dispôs que o Privacy Act12 se aplica a todos os órgãos e entes
    governamentais e a todas as empresas com receita anual superior a Au$ 3 milhões. Ainda assim,
    previu hipóteses em que o Privacy Act se aplicaria a pequenas empresas (com receita anual inferior
    a Au$ 3 milhões), como, por exemplo, aquelas do setor privado de saúde, as que comercializem
    dados pessoais, que façam perfil de crédito, que tenham contrato com o governo ou com empresas
    abrangidas pelo Privacy Act, entre outras hipóteses.
    A Califórnia, estado dos Estados Unidos da América, definiu em seu Consumer Privacy Act de
    2018 que para fins daquela legislação, 50% do faturamento dos negócios das empresas deve advir
    da venda de dados pessoais de consumidores, bem como devem tratar com fins comerciais os dados
    pessoas de 50.000 ou mais consumidores. Caso contrário, a referida legislação não se aplica.
    3.1.1.5 Quais os objetivos da ação? Por que a intervenção regulatória é necessária?
    O objetivo imediato da intervenção regulatória é atender ao comando do art. 55-J, XVIII da
    LGPD e editar norma específica, simplificando e diferenciando os procedimentos para que
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    possam se adequar à LGPD.
    Constituem contornos dessa norma específica o compromisso de garantir os direitos dos
    titulares de dados, o equilíbrio entre as regras constantes da LGPD e o porte do agente de
    tratamento de dados, buscando incentivar a inovação e o desenvolvimento econômico.
    O objetivo mediato é facilitar a adaptação das microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais à LGPD, promovendo a sua conformidade com
    a lei e contribuindo para a disseminação da cultura de proteção de dados pessoais.
    Especificamente no que se refere ao tema relacionado à definição desse grupo de agentes
    de tratamento, pretende-se apresentar uma proposta de conceito que permita à ANPD estabelecer
    contornos claros para aplicação da legislação de proteção de dados pessoais compreensível a essas
    empresas.
    12 OAIC. Rights and Responsibilities. Disponível em: https://www.oaic.gov.au/privacy/the-privacy-act/rightsand-responsibilities/#who-has-responsibilities-under-the-privacy-act. Acesso em: 23 abr. 2021.
    Página 15 de 74
    3.1.1.6 Quais os grupos afetados?
    A norma de aplicação da LGPD para microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais impacta todos os titulares de dados que se relacionam
    com esses agentes de tratamento. Diante disso, ao proceder o levantamento dos agentes
    econômicos, dos usuários dos serviços prestados e dos demais afetados pelo problema ora
    analisado, os grupos a seguir foram identificados como mais impactados:
    i) agentes de tratamento de dados, em especial aqueles em que se enquadram as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais;
    ii) titulares de dados pessoais;
    iii) fabricantes de softwares de gestão e governança de dados;
    iv) prestadores de serviço de consultoria;
    v) encarregados.
    Outros grupos identificados, como órgãos de pesquisa, órgãos públicos, agências
    reguladoras e imprensa poderão ser afetados, mas com impactos reduzidos ou na medida em que
    se relacionarem com microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais.
    3.1.2 ANÁLISE DAS ALTERNATIVAS
    3.1.2.1 Quais são as opções regulatórias consideradas para o tema?
    A partir do exposto, para solução do problema de definição do conceito de microempresa,
    empresa de pequeno porte, startups e pessoas físicas que tratam dados pessoais a fim de
    determinar o acesso a procedimentos simplificados e diferenciados, consideram-se alternativas
    possíveis tanto (i) uma abordagem baseada numa definição única e geral quanto (ii) uma abordagem
    baseada numa definição circunstancial, em que os critérios variam à luz de cada obrigação e dos
    riscos associados.
    Diante da diversidade dos critérios que devem ser considerados na regulamentação da
    aplicação da LGPD a esse grupo de agentes de tratamento, como características da empresa,
    Página 16 de 74
    características dos dados pessoais, características do tratamento e risco para o titular de dados, e
    da heterogeneidade do universo de microempresas, empresas de pequeno porte e startups,
    considerou-se mais importante privilegiar a flexibilidade do conceito de microempresas, empresas
    de pequeno porte, startups e pessoas físicas que tratam dados pessoais à luz das obrigações da
    LGPD.
    Além disso, entende-se importante o estabelecimento de um segundo critério relacionado
    ao tipo de tratamento realizado por esse grupo de empresas, a fim de que o titular de dados pessoais
    não seja prejudicado com a edição do normativo. Ademais, não seria racional estabelecer o mesmo
    parâmetro para todas as microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais, pois nem todo tratamento de dado pessoal para fins da norma a ser
    indicada implicaria, necessariamente, atenção especial pela ANPD.
    Nesse sentido, algumas opções foram levantadas. A primeira delas diz respeito à
    diferenciação ao tipo de tratamento realizado pelas microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais, ou seja, se ele é realizado de forma regular e
    principal, que consistiria naquele realizado para um determinado percentual da receita bruta anual;
    ou de forma incidental, sendo este último aquele realizado para fins administrativos ou para contato
    com usuários de bens e serviços ofertados.
    Essa opção implicaria uma definição circunstancial de microempresa, empresa de pequeno
    porte, startups e pessoa física que trata dado pessoal para cada obrigação elencada na norma. Isso
    poderia tornar menos simples para esses agentes de tratamento a compreensão de suas obrigações.
    Por outro lado, essa abordagem permite maior grau de simplificação e facilitação do atingimento
    da conformidade dessas obrigações.
    Outra opção regulatória consiste em simplificar o atendimento das obrigações da LGPD com
    base no risco que o tratamento de dados realizado apresenta aos titulares de dados pessoais, sendo
    então necessária a apresentação do que esta ANPD entende como risco para fins da norma.
    A definição conceitual em relação ao que a ANPD compreende como destinatários da norma
    e como microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais foi amplamente debatida ao longo dos tópicos anteriores. No caso, independentemente
    de outros critérios que venham a ser adotados pela norma, entende-se que essa conceituação deve
    Página 17 de 74
    ser feita e, conforme exposto, sugere-se que sejam adotados os conceitos já trazidos pela legislação,
    como a Lei Complementar nº 123/2006 e a Lei Complementar nº 182/2021.
    No entanto, além da conceituação, é necessário avaliar as outras opções relacionadas à
    aplicação da norma.
    3.1.2.2 Alternativa A – Aplicação da norma pelo faturamento e pelo volume de dados tratados
    Para fins de aplicação da norma, é possível diferenciar o tipo de tratamento realizado pelas
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    ou seja, se ele é realizado de forma regular e principal. No caso, o tratamento como atividade
    principal consiste naquele realizado para obtenção de 50% (cinquenta por cento) ou mais da receita
    bruta anual; e o de forma incidental consiste naquele realizado para fins administrativos ou para
    contato com usuários de bens e serviços ofertados. Essa classificação tem como inspiração a norma
    estabelecida pelo California Consumer Privacy Act, de 2018.
    Muito embora esse critério pareça objetivo, é de difícil aferição, seja em razão da dificuldade
    de acesso à documentação contábil da empresa, seja em razão da dificuldade de se aferir (mesmo
    de posse dos documentos contábeis) o quanto, de fato, de sua receita advém da atividade de
    tratamento de dados pessoais. Muito embora os documentos contábeis sigam algum grau de
    padronização, há uma margem razoável para que as empresas eventualmente classifiquem as
    receitas de formas diferentes. Assim, essa regra poderá criar incentivos econômicos para que
    empresas classifiquem determinadas receitas para outras classificações contábeis, a fim de obter
    um tratamento diferenciado na legislação de proteção de dados.
    Além disso, o potencial de risco e a probabilidade de danos graves para titulares de dados
    pessoais não possui relação direta com a receita bruta (ou, ainda, com o percentual de faturamento
    que decorre da atividade de tratamento de dados pessoais).
    Resumo da análise da alternativa A
    Grupos afetados Desafios Benefícios
    ANPD Dificuldade em auferir o
    faturamento das empresas
    Critério específico para aplicação
    da norma
    Microempresas, empresas de
    pequeno porte, startups e
    pessoas físicas que tratam dados
    pessoais
    Dificuldade em comprovar que o
    faturamento advém do
    tratamento de dados pessoais
    Fácil identificação do tratamento
    incidental de dados pessoais
    Página 18 de 74
    Titulares de dados pessoais Atividades de alto risco para os
    titulares podem ser incluídas na
    flexibilização, diminuindo a
    proteção dos seus direitos
    Não foram identificados
    benefícios relevantes.
    Fabricantes de softwares de
    gestão e governança de dados
    Não foram identificados desafios
    relevantes.
    Não foram identificados
    benefícios relevantes.
    Prestadores de serviço de
    consultoria
    Não foram identificados desafios
    relevantes.
    Não foram identificados
    benefícios relevantes.
    Encarregados Não foram identificados desafios
    relevantes.
    Não foram identificados
    benefícios relevantes.
    3.1.2.3 Alternativa B – Aplicação da norma em razão do risco
    A adoção de critérios de flexibilização da LGPD para microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais com base no risco que o tratamento
    realizado apresenta aos titulares de dados pessoais é uma opção que foi aventada em algumas
    contribuições recebidas ao longo da Tomada de Subsídios nº 1/2021. No caso, ela implicaria em
    desconsiderar o faturamento auferido com o tratamento de dados ou o tipo de tratamento
    realizado (ou seja, incidental ou principal), aventando somente o risco que esse tratamento pode
    causar aos titulares de dados pessoais.
    Com isso, seria necessário estabelecer, ainda que de forma inicial, o que a ANPD entende
    como tratamento de alto risco para os titulares de dados pessoais. Tendo em vista ser um conceito
    para o qual não há definição homogênea na experiência internacional e que também é utilizado
    para outros temas relacionados à proteção de dados pessoais, como elaboração de relatório de
    impacto à proteção de dados pessoais e incidentes de segurança, para que essa opção seja adotada
    é necessário estabelecer critérios que façam sentido especificamente ao que a norma se propõe.
    Outra opção é que a norma deixe claro que a ANPD poderá estabelecer o critério a partir de casos
    concretos.
    Além disso, seria preciso trazer a ideia de larga escala do tratamento de dados pessoais,
    tendo em vista que o mero tratamento de dados pessoais sensíveis, por exemplo, não
    necessariamente traz um alto risco aos titulares. Assim, o tratamento de larga escala seria aquele
    que abrange um número significativo de titulares, considerando também o volume de dados
    envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado.
    Página 19 de 74
    Tendo em vista que a norma não definirá de forma exata o que seria número significativo de
    titulares em razão de ser a primeira norma dessa natureza e não se ter parâmetros na LGPD ou em
    outras legislações tanto brasileiras quanto estrangeiras, é possível que, em um primeiro momento,
    esse ponto gere insegurança jurídica às microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais.
    Resumo da análise da alternativa B
    Grupos afetados Desafios Benefícios
    ANPD Necessidade de maior estudo e
    maturidade na definição de
    tratamento de alto risco para o
    titular de dados.
    Maior harmonia com os conceitos
    utilizados internacionalmente.
    Maior facilidade de
    enquadramento para aplicação
    da norma para fins de fiscalização
    da ANPD.
    Microempresas, empresas de
    pequeno porte, startups e
    pessoas físicas que tratam dados
    pessoais
    Insegurança em relação ao
    conceito de risco.
    Insegurança em relação à não
    definição do que vem a ser alto
    volume ou número significativo
    de titulares para ANPD.
    A aplicação da norma se torna
    mais ampla e tende a atingir um
    número maior desses agentes.
    Oportunidade de negócios em
    outros países, considerando que
    o conceito de risco para os
    titulares é bastante utilizado
    internacionalmente.
    Titulares de dados pessoais Percepção de demora na
    efetividade da regulamentação,
    tendo em vista necessidade de
    maior estudo e maturidade para a
    definição mais objetiva de
    tratamento de alto risco.
    As atividades de tratamento que
    geram maior risco não são
    atingidas pela flexibilização,
    preservando os direitos dos
    titulares de dados pessoais.
    Fabricantes de softwares de
    gestão e governança de dados
    Custo de adaptação ao novo
    modelo regulatório.
    O conceito de risco é bastante
    utilizado nos softwares de gestão
    e governança de dados.
    Prestadores de serviço de
    consultoria
    Necessidade de adaptação ao
    novo modelo e conhecimento
    maior da regulamentação e das
    demais manifestações da ANPD.
    O conceito de risco é bastante
    difundido no tema de proteção
    de dados.
    Encarregados Necessidade de conhecimento
    com relação ao conceito de risco.
    Não foram identificados
    benefícios relevantes.
    3.1.3 CONCLUSÃO E ALTERNATIVA SUGERIDA
    3.1.3.1 Qual a conclusão da análise realizada?
    Considerando as alternativas apresentadas como solução para os problemas relacionados à
    definição de microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    Página 20 de 74
    dados pessoais, identificou-se que, em razão dos desafios e benefícios elencados para cada um dos
    grupos afetados, que a Alternativa B é a mais adequada para endereçar o tema.
    Ao privilegiar a flexibilidade do conceito de microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais, variando de acordo com as obrigações,
    aumenta-se a capacidade de a norma considerar os critérios adequados que permitam a
    simplificação e flexibilização de determinada obrigação sem aumentar consideravelmente os riscos
    envolvidos tanto para os titulares de dados quanto para esse grupo de agentes de tratamento.
    Essa flexibilidade ocorre ao se combinar um conceito base de microempresas, empresas de
    pequeno porte e startups, com os demais critérios identificados ao longo do processo de coleta de
    informações, como as contribuições da Tomada de Subsídios nº 1/2021.
    Nesse sentido, revelam-se como apropriados, até mesmo a título de uniformidade, adotar
    como conceitos-base os trazidos pela Lei Complementar nº 123/2006 para microempresas,
    empresas de pequeno porte e startups:
    Art. 3º Para os efeitos desta Lei Complementar, consideram-se microempresas ou
    empresas de pequeno porte, a sociedade empresária, a sociedade simples, a
    empresa individual de responsabilidade limitada e o empresário a que se refere o
    art. 966 da Lei no 10.406, de 10 de janeiro de 2002 (Código Civil), devidamente
    registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas
    Jurídicas, conforme o caso, desde que:
    I – no caso da microempresa, aufira, em cada ano-calendário, receita bruta igual ou
    inferior a R$ 360.000,00 (trezentos e sessenta mil reais); e
    II – no caso de empresa de pequeno porte, aufira, em cada ano-calendário, receita
    bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a
    R$ 4.800.000,00 (quatro milhões e oitocentos mil reais). (Redação dada pela Lei
    Complementar nº 155, de 2016) [Grifamos]
    Art. 65-A. (…).
    § 1º Para os fins desta Lei Complementar, considera-se startup a empresa de
    caráter inovador que visa a aperfeiçoar sistemas, métodos ou modelos de negócio,
    de produção, de serviços ou de produtos, os quais, quando já existentes,
    caracterizam startups de natureza incremental, ou, quando relacionados à criação
    de algo totalmente novo, caracterizam startups de natureza disruptiva.
    § 2º As startups caracterizam-se por desenvolver suas inovações em condições de
    incerteza que requerem experimentos e validações constantes, inclusive mediante
    comercialização experimental provisória, antes de procederem à comercialização
    plena e à obtenção de receita.
    (…)
    § 4º Os titulares de empresa submetida ao regime do Inova Simples preencherão
    cadastro básico com as seguintes informações:
    (…)
    Página 21 de 74
    II – descrição do escopo da intenção empresarial inovadora e definição da razão
    social, que deverá conter obrigatoriamente a expressão “Inova Simples (I.S.)”;
    [Grifamos]
    Além disso, para startups, cabe também adotar os parâmetros trazidos pela Lei
    Complementar nº 182/2021, conforme o seu art. 4º, para fins de faturamento máximo para os
    agentes econômicos aos quais a resolução se destina:
    Art. 4º São enquadradas como startups as organizações empresariais ou
    societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela
    inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados.
    § 1º Para fins de aplicação desta Lei Complementar, são elegíveis para o
    enquadramento na modalidade de tratamento especial destinada ao fomento
    de startup o empresário individual, a empresa individual de responsabilidade
    limitada, as sociedades empresárias, as sociedades cooperativas e as sociedades
    simples:
    I – com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no anocalendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil
    trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade
    no ano-calendário anterior, quando inferior a 12 (doze) meses,
    independentemente da forma societária adotada;
    (…)
    Esses conceitos serão considerados em conjunto com outros critérios especificados ao longo
    do regulamento, tendo em vista que entidades que não se enquadram nos conceitos acima mas
    que, ao se pensar na lógica do que se pretende com essa norma de aplicação da LGPD, podem ser
    equiparadas às microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais, quais sejam, as pessoas jurídicas sem fins lucrativos, como associações, fundações,
    organizações religiosas, partidos políticos e demais entidades equiparadas, incluídas as pessoas
    formais.
    Em relação às pessoas físicas que tratam dados pessoais, sugere-se que essa categoria se
    refira às pessoas naturais que tratam dados pessoais, guardando assim relação com os termos da
    Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil).
    Entende-se que esse grupo de agentes de tratamento deve ter uma denominação específica
    a ser apresentada na norma a ser editada, sugerindo-se, aqui, a adoção do termo agentes de
    tratamento de pequeno porte. Esse termo denota a principal categoria que compõe o grupo de
    entidades às quais se destina a norma a ser editada e que a LGPD determina que sejam editadas
    normas com um regime diferenciado, qual seja, às microempresas e às empresas de pequeno porte.
    Página 22 de 74
    Além disso, o termo também guarda referência com a Lei Complementar nº 123/2006, sem perder
    a conexão direta com os termos estabelecidos pela LGPD, em especial com os agentes de
    tratamento de dados pessoais.
    Em relação ao segundo critério da norma, optou-se por adotar a classificação do tratamento
    realizado em razão do risco que ele implica aos titulares de dados, tendo em vista ser mais efetivo
    na proteção dos direitos dos titulares de dados, ao tempo em que gera menos insegurança para fins
    do trabalho de fiscalização da ANPD.
    Assim, sugere-se que os mesmos conceitos e critérios relacionados ao conceito desse grupo
    de agentes de tratamento e ao risco relacionado à atividade de tratamento se aplicam a todas as
    obrigações elencadas na norma.
    3.1.3.2 Como será operacionalizada a alternativa sugerida?
    Para operacionalização da alternativa escolhida, serão estabelecidos como critérios-base de
    identificação e definição dos agentes de tratamento de pequeno porte os seguintes conceitos: (i)
    microempresas, empresas de pequeno porte e startups como aqueles indicados na Lei
    Complementar nº 123/2006; e (ii) demais entidades, como pessoas jurídicas sem fins lucrativos.
    Além disso, esse conjunto de entes deve ter como faturamento máximo os valores estabelecidos
    pela Lei Complementar nº 182/2021.
    Para fins de classificação quanto ao tipo de tratamento realizado, optou-se por adotar o
    critério relacionado ao risco que o tratamento de dados pessoais acarreta ao titular de dados, tendo
    em vista ser um modelo de mais fácil operacionalização pela área de fiscalização da ANPD. Além
    disso, entende-se que esse critério resguarda de forma mais efetiva os titulares de dados pessoais,
    sem impedir que as microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais se beneficiem de um tratamento diferenciado, em especial aqueles que
    realizam apenas o tratamento de dados de funcionários ou relacionados à sua gestão
    administrativa.
    Tratamento de alto risco
    Para fazer uso de critérios relacionados ao risco referente ao tratamento de dados, seria
    indicado que a ANPD apresentasse o conceito a ser adotado para fins da norma. Há que se
    considerar, no entanto, a dificuldade de se definir risco para fins da flexibilização da aplicação da
    Página 23 de 74
    LGPD para microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoas e a necessidade de se estabelecer critérios mínimos para análise.
    Sobre a definição de tratamento de alto risco para titulares de dados, ressalta-se que a
    avaliação do risco é bastante utilizada pelas autoridades de proteção de dados. A título de exemplo,
    destacam-se os documentos emitidos pelas autoridades do Reino Unido (Information
    Commissioner’s Office – ICO)13 e da França (Commission Nationale de Informatique et des Libertés –
    CNIL)14, que utilizam o conceito de avaliação do risco no tratamento dos dados dos titulares.
    Ademais, vale ainda citar o Guideline15 sobre relatório de impacto à proteção de dados
    pessoais da Comissão Europeia. Ainda que não seja endereçado exclusivamente a empresas de
    pequeno porte, o guia trata da definição de alto risco, utilizando critérios como tratamento de dados
    em larga escala e de dados sensíveis, dados de crianças e adolescentes e de idosos, e que foi
    considerado ao longo dos estudos sobre o tema pela área técnica da ANPD.
    Diante disso, destaca-se a possibilidade de definição de um rol taxativo de atividades que
    poderiam acarretar alto risco, como o tratamento de dados sensíveis e de grupos vulneráveis
    (incluindo dados de crianças, de adolescentes e de idosos), o uso de tecnologias emergentes e o
    tratamento automatizado de dados pessoais.
    Além disso, considerando que a mera identificação das hipóteses acima listadas não é
    suficiente para se estipular uma atividade de alto risco, é necessário também endereçar a questão
    relacionada à escala do tratamento de dados pessoais.
    Larga escala
    Definir o que é larga escala no que se refere ao tratamento de dados pessoais não é tarefa
    trivial, tendo em vista a inexistência, no atual momento, de parâmetros que permitam auferir o
    volume de dados de fato tratados por microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais.
    13 ICO. Data storage, sharing and security. Disponível em: https://ico.org.uk/for-organisations/sme-webhub/frequently-asked-questions/data-storage-sharing-and-security/#howdo. Acesso em 02/08/2021.
    14 CNIL. Guide pratique de sensibilisation au RGPD. Disponível em:
    https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf. Acesso em 02/08/2021.
    15 EC. Guidelines on Data Protection Impact Assessment (DPIA). Disponível em:
    https://ec.europa.eu/newsroom/article29/items/611236. Acesso em: 02/08/2021.
    Página 24 de 74
    Assim, é necessário que a norma estabeleça critérios abertos relacionados a esse conceito
    que possam ser interpretados pela ANPD e atualizados ao longo do tempo, a fim de que a norma
    não institua parâmetros que não se baseiem em evidências concretas. Além disso, a norma deve
    prever orientações futuras da ANPD sobre o assunto, a fim de que se possa diminuir os custos
    relacionados à eventual insegurança jurídica em razão dos conceitos abertos adotados.
    3.1.3.3 Como a alternativa sugerida será monitorada?
    A norma proposta não estabelece indicadores objetivos sobre o tema. Entretanto, por meio
    do acompanhamento das atividades de fiscalização da Coordenação-Geral de Fiscalização, bem
    como por meio de elaboração dos relatórios anuais de gestão da ANPD, será possível aferir se as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    estão cumprindo a LGPD nos termos da resolução.
    Nesse sentido, sugere-se acompanhar a quantidade de reclamações de titulares de dados
    em face às microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais, e a quantidade de processos sancionatórios instaurados contra eles. Uma vez que não
    existem dados históricos sobre essas informações, a coleta e o acompanhamento desses dados
    poderão servir de base para eventuais revisões da alternativa escolhida.
    3.2 TEMA 2 – CONFORMIDADE DAS OBRIGAÇÕES DA LGPD PELAS MICROEMPRESAS,
    EMPRESAS DE PEQUENO PORTE E STARTUPS E PESSOAS FÍSICAS QUE TRATAM DADOS
    PESSOAIS
    3.2.1 RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO
    3.2.1.1 Introdução
    Sobre a conformidade em relação às regras da LGPD, a lei impõe aos agentes de tratamento
    de dados pessoais, inclusive às microempresas, empresas de pequeno porte, startups e pessoas
    físicas que tratam dados pessoais, diversas obrigações, como a necessidade de atender a
    solicitações do titular sem custos para este e nos prazos previstos em regulamento; manutenção do
    registro das operações de tratamento de dados pessoais; elaboração de relatório de impacto à
    proteção de dados pessoais; tratamento de dados em conformidade com a legislação; indicação do
    encarregado de tratamento de dados pessoais; portabilidade de dados dos titulares; e a garantia de
    segurança e ao sigilo de dados pessoais.
    Página 25 de 74
    Por outro lado, conforme já mencionado, a LGPD dispõe no art. 55-J, XVIII que compete à
    ANPD editar normas específicas, com procedimentos simplificados e diferenciados para que
    microempresas, empresas de pequeno porte, bem como iniciativas empresariais de caráter
    incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam
    adequar-se à LGPD
    No tema 1 deste relatório foram analisados os critérios que devem ser considerados para a
    definição das microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais como integrantes da categoria específica de agente de tratamento, cujo nome será
    definido em norma específica. Preliminarmente, observa-se que para essa flexibilização, além do
    critério de porte do agente de tratamento, entendeu-se ser necessário outra importante variável,
    que diz respeito ao tratamento de dados de alto risco.
    Assim, neste tópico serão analisadas as possíveis obrigações que podem ser simplificadas
    para aqueles classificados nessa categoria de agentes.
    Cabe ressaltar que um dos maiores desafios deste normativo refere-se ao fato de que se
    busca simplificar regras que ainda serão tratadas em regulamentação específica, como por exemplo,
    a comunicação de incidentes, o relatório de impacto à proteção de dados e a obrigatoriedade de
    indicação de encarregado de dados pessoais, temas já previstos na Agenda Regulatória 2021-2022
    da ANPD e que, em sua maioria, já tiveram o processo de regulamentação iniciado16
    .
    Entretanto, tendo em vistas os custos e dificuldades de adaptação à LGPD enfrentados por
    esse grupo de agentes, entende-se oportuno endereçar a importância do estabelecimento de
    obrigações simplificadas, bem como analisar e sugerir as possíveis formas de endereçar o tema em
    uma norma.
    3.2.1.2 Quais os problemas a serem solucionados
    Ao longo da Tomada de Subsídios realizada, o principal problema identificado consiste na
    elevada carga regulatória ocasionada pelas obrigações dispostas na LGPD, que podem causar grave
    impacto na operação das microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais. A título de exemplo, foi citado nas contribuições o levantamento
    16 Nota Técnica nº 23/2021/CGN/ANPD – Relatório de Acompanhamento e Execução da Agenda Regulatória para o
    biênio 2021-2022.
    Página 26 de 74
    disponibilizado pelo SEBRAE17 de que existem aproximadamente 19.228.025 empresas, sendo que,
    destas, 9.810.483 são microempreendedores individuais (MEI) (51,02%) e 6.586.497 são
    microempresas (34,25%). Dessa forma, percebe-se que 85,27% das empresas do País são
    microempreendedores individuais e microempresas, de maneira que seu desempenho possui um
    alto impacto na economia do País, com geração de renda e emprego para milhares de famílias
    brasileiras.
    Ademais, pode-se inferir que a receita dessas empresas não é alta, considerando que para
    assim serem classificadas, devem possuir faturamento anual igual ou inferior ao valor estimado de
    R$ 360.000,00, conforme disposto na Lei Complementar nº 123/2006.
    Quanto às startups, segundo levantamento da Associação Brasileira de Startups
    (Abstartups), existem mais de 12.700 empresas assim classificadas como startups no País18. Segundo
    o Perfil da Startup Brasileira (Radiografia do Ecossistema Brasileiro de Startups)19, 63% das startups
    contam com até 5 pessoas, 49% são compostas apenas pelos sócios, 69% têm faturamento abaixo
    de R$ 50.000,00 e 15% possuem faturamento anual entre R$ 50.000,00 e R$ 250.000,00, 69% têm
    até 3 anos de funcionamento e apenas 69,7% possuem o CNPJ formalizado junto aos órgãos oficiais.
    Ou seja, com o diminuto número de funcionários e com um faturamento limitado, novas obrigações,
    que poderiam demandar a contratação de corpo técnico especializado, podem causar diversas
    dificuldades ao funcionamento desse grupo de empresas.
    Por outro lado, o porte de uma empresa não altera o direito que o titular de dados tem à
    proteção de seus dados pessoais, nos termos do art. 17 e seguintes da LGPD, nem desobriga que as
    atividades de tratamentos de dados pessoais observem a boa-fé e os princípios elencados no art. 6º
    do mesmo normativo, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados,
    transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
    17 Painel de empresas. Disponível em: https://datasebrae.com.br/totaldeempresas/. Dados de maio, 2020. Acesso em
    24/07/2021.
    18 G1.Globo.com. Globonews. Número de startups no Brasil aumentou 20 vezes nos últimos oito anos.
    11 já são unicórnios. Disponível em https://g1.globo.com/globonews/noticia/2020/01/15/numero-de-startups-nobrasil-aumentou-20-vezes-nos-ultimos-oito-anos-11-ja-sao-unicornios.ghtm. Acesso em
    24/07/2021.
    19 O Momento da Startup Brasileira e o futuro do Ecossistema de Inovação. Disponível em:
    https://abstartups.com.br/radiografia-do-ecossistema/. Acesso em 24/07/2021.
    Página 27 de 74
    Outro problema identificado é a baixa cultura de proteção de dados nas microempresas, nas
    empresas de pequeno porte, nas startups e das pessoas físicas que tratam dados pessoais. Esse
    problema pode ser ocasionado pela falta de conhecimento da LGPD, pela falta de apoio técnico
    especializado, pela falta de estrutura para absorver todas as diretrizes, princípios e regras dispostas
    na LGPD, bem como por outros fatores não listados.
    Além disso, cabe destacar que a LGPD foi promulgada em 2018 e só entrou em vigor em sua
    totalidade em 2021, ou seja, é uma lei recente e pode não ser conhecida em sua totalidade por
    alguns grupos de agentes econômicos, e as suas disposições podem ser vistas como complexas para
    esse grupo de empresas.
    Essa baixa cultura de proteção de dados identificada na mencionada categoria especial de
    agentes de tratamento pode levar a uma baixa compreensão dos riscos relacionados às violações
    de normas de proteção de dados pessoais e, eventualmente, pode gerar dano aos titulares dos
    dados pessoais. Esse fato pode elevar o número de reclamações contra esse grupo de agentes de
    tratamento por parte dos titulares de dados pessoais e, consequentemente, gerar eventual
    desconfiança no ecossistema de proteção de dados pessoais.
    3.2.1.3 A Autoridade tem competência para atuar sobre os problemas?
    Nos termos do que dispõe o art. 55-J, XVIII da LGPD, a ANPD tem competência para editar
    normas específicas, com procedimentos simplificados e diferenciados, bem como os critérios de
    elegibilidade, para que microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais possam adequar-se à LGPD.
    3.2.1.4 Existe experiência internacional?
    No que concerne a experiências internacionais relacionadas à conformidade de obrigações
    legais ou regulatórias por microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais, cabe esclarecer que foram identificadas duas abordagens: i)
    instrumentos para promover a cultura de proteção de dados e ii) regulamentação para dispensa ou
    flexibilização de obrigações.
    Quanto aos instrumentos para promover a cultura de proteção de dados em microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais, existem diversas
    experiências internacionais. No entanto, o presente relatório de AIR apresentará os casos do Reino
    Página 28 de 74
    Unido e da União Europeia, tendo em vista que essas experiências podem contribuir para o debate
    em direção a uma solução para o Brasil, considerando a proximidade entre a LGPD e o RGDP.
    A ICO, autoridade de proteção de dados do Reino Unido, possui um sistema online que
    fornece apoio aos pequenos negócios. A título de exemplo, a ICO tem uma página web dedicada às
    pequenas e médias empresas, que esclarece as principais dúvidas das organizações, fornece o guia
    “Getting it right: a brief guide to data protection for small businesses”
    20
    , apresenta orientações
    quanto às principais obrigações que devem ser seguidas por esse grupo de empresas, e apresenta
    um “Accountability Framework”
    21
    , com objetivo de facilitar o entendimento das empresas com
    relação à conformidade com a RGPD.
    Além disso, foi criado o ICO Innovation Hub22 que, em conjunto com reguladores de outros
    setores, como por exemplo, financeiro e saúde, promove iniciativas relacionadas à proteção de
    dados implementadas por empresas inovadoras ou startups.
    Já na União Europeia, diversos países têm iniciativas para fortalecer a cultura de privacidade
    e proteção de dados, entre os quais podemos destacar a iniciativa da autoridade francesa, a CNIL,
    que possui um guia orientativo do RGPD voltado a pequenas e médias empresas, o “Guide pratique
    de sensibilisation au RGPD”
  5. Por sua vez, o Ireland Data Protection Commissioner (Irish DPC),
    autoridade irlandesa, publicou um guia para pequenas e médias empresas24, que contém um
    checklist para orientar os agentes na conformidade com o RGDP.
    As experiências internacionais relacionadas às dispensas ou flexibilizações de obrigações
    legais e regulatórias serão apresentadas a seguir, sendo divididas pelas principais obrigações.
    Obrigações relacionadas aos direitos do titular
    20 ICO. Getting it right: a brief guide to data protection for small businesses. Disponível em: https://ico.org.uk/media/fororganisations/documents/1559/getting_it_right_a_brief_guide_to_data_protection_for_smes.pdf. Acesso em
    27/07/2021.
    21 ICO. Accountability Framework. Disponível em: https://ico.org.uk/for-organisations/accountability-framework/.
    Acesso em 27/07/2021.
    22 ICO Innovation Hub. Disponível em: https://ico.org.uk/about-the-ico/research-and-reports/ico-innovation-hubproject-report/. Acesso em 27/07/2021.
    23 CNIL. Guide pratique de sensibilisation au RGDP. Disponível em:
    https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf. Acesso em 27/07/2021
    24 Irish DPC. GDPR Guidance for SMEs. Disponível em: https://www.dataprotection.ie/sites/default/files/uploads/2019-
    07/190708%20Guidance%20for%20SMEs.pdf. Acesso em 27/07/2021.
    Página 29 de 74
    O RGPD não apresenta flexibilizações para pequenas empresas no que se refere às
    obrigações que a norma estabelece. No entanto, cabe apresentar o posicionamento da referida
    norma sobre as obrigações relacionadas aos direitos do titular, tendo em vista que uma das análises
    que serão feitas diz respeito à flexibilização dessa categoria de obrigações estabelecidas pela LGPD
    e que ainda não foram normatizadas pela ANPD.
    No caso, o RGPD dispõe sobre o direito de acesso às informações pelos titulares de dados
    nos artigos 12 e 15.
    No artigo 12, o RGPD informa que o controlador deve adotar as medidas adequadas para
    fornecer ao titular as informações a respeito do tratamento de dados pessoais, de forma concisa,
    transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. As informações
    podem ser prestadas por escrito ou por outros meios, incluindo meios eletrônicos. Se o titular dos
    dados solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja
    comprovada por outros meios. O prazo para atendimento é de 30 dias, podendo ser prorrogado por
    mais 30 caso a requisição seja mais complexa. A resposta é feita pelo mesmo instrumento em que
    recebida, ou seja, se houve recebimento por e-mail, a resposta também será por e-mail, exceto se
    o requerente solicitar por outro meio.
    Já no artigo 15, o RGPD prevê que o titular dos dados tem o direito de obter do controlador
    a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e,
    se for esse o caso, o direito de acesso aos seus dados pessoais e a outras informações
    suplementares. Para responder a essa solicitação, o controlador fornece uma cópia dos dados
    pessoais objeto de tratamento. Para fornecer outras cópias solicitadas pelo titular dos dados, o
    responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os
    custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrônicos, e salvo
    pedido em contrário do titular dos dados, a informação é fornecida num formato eletrônico de uso
    corrente.
    Registro das Atividades de Tratamento
    O RGPD prevê o registro das atividades de tratamento de dados pessoais, descrevendo quais
    informações devem ser registradas, tanto pelo operador, quanto pelo controlador – ao contrário da
    LGPD, que não traz esses pormenores sobre que informações devem ser registradas, apenas
    dispondo que “o controlador e o operador devem manter registro das operações de tratamento de
    Página 30 de 74
    dados pessoais que realizarem, especialmente quando baseado no legítimo interesse” (art. 37 da
    LGPD). Além disso, o RGPD diferencia as informações que devem ser registradas para o controlador
    (artigo 30) e para o operador (art. 31).
    Especificamente no que se refere a pequenas empresas, o artigo 30 prevê uma exceção para
    o registro de atividade para empresas que possuam menos de 250 funcionários, as quais não
    precisam manter registros do procedimento de tratamento de dados da mesma forma que outras
    empresas. A obrigação apenas não é afastada em 3 casos: quando os tratamentos realizados
    tenham alto potencial de resultar em um risco para os direitos e liberdades dos titulares, quando
    eles forem tratamentos habituais ou, por fim, quando incluírem dados de categoria especial ou
    dados relacionados a ofensas e condenações criminais.
    Relatório de Impacto à Proteção de Dados Pessoais
    O artigo 35 do RGPD prevê a obrigação de elaborar uma avaliação de impacto à proteção de
    dados pessoais por todas as organizações que executam atividades de risco elevado. De acordo com
    esse artigo, o Data Protection Impact Assessment (DPIA) é necessário quando algum tratamento,
    principalmente que implique na utilização de novas tecnologias, seja suscetível de resultar em alto
    risco para os direitos e liberdades dos titulares, considerando a sua natureza, escopo, contexto e
    finalidade.
    Nesse caso, não há exceções para microempresas e empresas de pequeno porte quando as
    atividades desempenhadas pela organização implicam alto risco à proteção de dados pessoais.
    No mesmo sentido, o “Guidelines on Data Protection Impact Assessment (DPIA)”, elaborado
    pelo Article 29 Working Party e ratificado pelo European Data Protection Board, complementou o
    rol de situações que poderiam resultar em alto risco, trazendo outras 9 operações ao rol não
    exaustivo já trazido pelo artigo 35 do RGPD.
    Observa-se que tanto o RGPD, quanto as orientações do Article 29 Working Party, não levam
    em consideração a natureza jurídica do agente de tratamento para definir a necessidade ou não de
    apresentação do DPIA.
    Comunicação de Incidentes de Segurança
    Página 31 de 74
    Cabe esclarecer que não foi encontrada na pesquisa experiência internacional um
    instrumento normativo endereçado exclusivamente às microempresas e empresas de pequeno
    porte que os desobrigue do envio da comunicação de incidente.
    Ainda que não tenham sido identificadas normas de isenção dessa obrigação, a título de
    exemplo de experiências internacionais, destaca-se o material disponibilizado pela ICO25
    , em seu
    site na Internet, sobre questionário de autoavaliação para verificação dos procedimentos de
    resposta a incidentes de segurança da informação da empresa.
    Além disso, foi disponibilizado na web um passo a passo de como pequenas e médias
    empresas devem proceder para realizar a comunicação26, inclusive atendendo o prazo de 72
    (setenta e duas) horas.
    Outro exemplo, cita-se a experiência de Luxemburgo27 com a disponibilização de formulário
    simplificado e estruturado para comunicação de incidentes de segurança.
    Encarregado
    Em relação à nomeação do encarregado de proteção de dados, as experiências
    internacionais demonstram que, geralmente, a obrigação de indicá-lo está relacionada aos riscos e
    danos aos quais os titulares estão expostos.
    Por exemplo, na União Europeia, o RGDP28 dispõe que a designação de um encarregado é
    obrigatória nos seguintes casos:
    a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os
    tribunais no exercício da sua função jurisdicional;
    25 ICO. ”How well could you respond to a personal data breach?”. Disponível em: https://ico.org.uk/fororganisations/sme-web-hub/checklists/how-well-could-you-respond-to-a-personal-data-breach/. Acesso em:
    27/07/2021.
    26 ICO. 72 hours – how to respond to a personal data breach. Disponível em: https://ico.org.uk/for-organisations/smeweb-hub/72-hours-how-to-respond-to-a-personal-data-breach/. Acesso em 27/07/2021.
    27 CNPD. Formulaire de Notification des Violations de Données. Disponível em:
    https://cnpd.public.lu/fr/formulaires.html. Acesso em 27/07/2021.
    28 RGDP. Regulamento Geral sobre Proteção de Dados. Art. 37. Disponível em: https://gdprinfo.eu/pt-pt/pt-pt-article37. Acesso em 27/07/2021.
    Página 32 de 74
    b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam
    em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um
    controle regular e sistemático dos titulares dos dados em grande escala; ou
    c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam
    em operações de tratamento em grande escala de categorias especiais de dados nos termos
    do artigo 9 e de dados pessoais relacionados com condenações penais e infrações a que se
    refere o artigo 10.
    Especificamente para pequenas e médias empresas, a União Europeia recomenda29 a
    nomeação de um encarregado nos casos em que: (i) se processe dados pessoais para direcionar
    publicidade, por meio de motores de busca com base no comportamento online dos indivíduos, e
    (ii) se processe dados relacionados à genética e saúde para hospitais.
    Em sentido parecido, em Portugal30, as empresas, seja na qualidade de responsáveis pelos
    tratamentos, seja na de subcontratantes, só estão obrigadas a designar um encarregado se
    realizarem o tratamento de dados sensíveis ou de dados relativos a condenações penais e infrações,
    nos termos dos artigos 9º e 10º do RGDP, em larga escala ou se realizarem tratamentos em larga
    escala relativos ao controle regular e sistemático dos titulares dos dados.
    Prazos diferenciados
    Não foram identificadas experiências internacionais a respeito do tema.
    3.2.1.5 Quais os objetivos da ação? Por que a intervenção regulatória é necessária?
    O objetivo imediato da intervenção regulatória é atender ao comando do art. 55-J, XVIII da
    LGPD e editar norma específica, simplificando e diferenciando os procedimentos para que
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    possam se adequar à LGPD.
    Constituem contornos dessa norma específica o compromisso de garantir o direito à
    proteção de dados pessoais dos titulares, o equilíbrio entre as regras constantes da LGPD e o porte
    29 Europeran Commision. Data protection – Better rules for small business. Disponível em:
    https://ec.europa.eu/justice/smedataprotect/index_en.htm. Acesso em 27/07/2021.
    30 CNPD. Obrigações Encarregado de Proteção de Dados. Disponível em:
    https://www.cnpd.pt/organizacoes/obrigacoes/encarregado-de-protecao-de-dados/. Acesso em: 27/07/2021.
    Página 33 de 74
    das microempresas, das empresas de pequeno porte, das startups, e as pessoas físicas que tratam
    dados pessoais e demais entidades, pelo que se concluiu que deveriam compor esse grupo de
    agentes de tratamento, buscando incentivar a inovação e o desenvolvimento econômico.
    Outro objetivo imediato é facilitar a adaptação das microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais à LGPD, promovendo sua conformidade
    com a lei e contribuindo para a disseminação da cultura de proteção de dados pessoais.
    Especificamente no que se refere ao tema relacionado à conformidade das obrigações da
    LGPD pelas microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais, objetiva-se uma maneira desses agentes se adequarem à LGPD sem colocar em
    risco ou causar danos aos titulares.
    3.2.1.6 Quais os grupos afetados?
    A norma de aplicação da LGPD para microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais impacta todos os titulares de dados que se relacionam
    com esse grupo de agentes de tratamento. Diante disso, ao proceder o levantamento dos agentes
    econômicos, dos usuários dos serviços prestados e dos demais afetados pelo problema ora
    analisado, os grupos a seguir foram identificados como mais impactados:
    i) agentes de tratamento de dados, em especial aqueles em que se enquadram as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais;
    ii) titulares de dados pessoais;
    iii) fabricantes de softwares de gestão e governança de dados;
    iv) prestadores de serviço de consultoria;
    Outros grupos identificados, como órgãos de pesquisa, órgãos públicos, agências
    reguladoras e imprensa poderão ser afetados, mas com impactos reduzidos ou na medida em que
    se relacionarem com microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais.
    Página 34 de 74
    3.2.2 ANÁLISE DAS ALTERNATIVAS
    3.2.2.1 Quais são as opções regulatórias consideradas pelo tema?
    Como já citado neste relatório, o comando do art. 55-J, XVIII da LGPD definiu a competência
    da ANPD para editar normas, orientações e procedimentos simplificados e diferenciados, inclusive
    quanto aos prazos, para que microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais possam adequar-se à lei.
    Nesse sentido, a análise de impacto regulatório considerou como uma opção a adoção de
    uma alternativa regulatória baseada no modelo de flexibilização das obrigações dispostas na LGPD
    em um normativo único, ou seja, todas as flexibilizações estariam consolidadas em uma resolução
    única endereçada exclusivamente para as microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais.
    A segunda alternativa seria a adoção de modelo regulatório cuja simplificação de cada uma
    das obrigações da LGPD para esse grupo de agentes de tratamento sejam tratadas principalmente
    nas resoluções específicas de cada um dos temas que devem ser regulamentados pela ANPD,
    considerando, além do porte dos agentes, osriscos e danos que o tratamento de dados pode causar
    aos titulares.
    No entanto, cabe destacar que ainda que a segunda alternativa venha a ser adotada, seria
    necessária a edição de um normativo para dispor sobre a definição do grupo de agentes de
    tratamento que poderão fazer jus às regras simplificadas.
    Por fim, cabe salientar que, independentemente do modelo proposto, considera-se uma
    atuação da ANPD mais orientativa e educativa, por meio de guias, templates, checklists e
    formulários simplificados, para que esse grupo de agentes de tratamento se adequem à LGPD.
    A seguir são analisadas as alternativas de modelos regulatórios para atender o comando do
    art. 55-J, XVIII da LGPD. Cabe destacar que as análises realizadas no próximo tópico se referem às
    possíveis simplificações e flexibilizações das obrigações evidenciadas, bem como à forma da
    abordagem dessas flexibilizações em resolução única ou em resolução específica.
    Página 35 de 74
    3.2.2.2 Alternativa A – Adoção de modelo regulatório com simplificação e flexibilização das
    obrigações em uma resolução única
    A primeira alternativa se refere a uma abordagem com a edição de uma resolução única que
    identifique as simplificações e flexibilizações das obrigações dispostas na LGPD para que as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    possam se adequar à lei. Espera-se que essa alternativa seja capaz de inserir em um normativo único
    as flexibilizações das obrigações da LGPD evidenciadas durante a análise, de forma a endereçar
    soluções aos problemas identificados.
    A seguir são realizadas as análises desta alternativa, seguindo a divisão das principais
    obrigações da LGPD.
    Obrigações relacionadas aos direitos do titular
    A definição das normas simplificadas referentes às obrigações relacionadas aos direitos dos
    titulares em resolução única a ser editada traria maior segurança jurídica às microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais, tendo em vista
    que esse grupo de agentes já saberia como se adequar ao que se é esperado e como cumpri-las. Por
    outro lado, a definição da forma simplificada de cumprimento sem que sejam estabelecidas as
    regras gerais para todos os agentes de tratamento pode gerar um descompasso e insegurança
    jurídica aos demais. Além disso, a regulamentação do tema está prevista na Agenda Regulatória
    2021-2022 da ANPD, já com previsão de estudo e endereçamento pela Autoridade.
    De todo modo, seja em resolução única ou em específica, já é possível mapear as principais
    obrigações aqui tratadas. No geral, para atendimento dos direitos dos titulares, os agentes de
    tratamento devem adequar suas atividades internas em termos de forma de recebimento das
    requisições e forma de resposta; fluxos internos para tratamento das solicitações e definição de
    responsáveis; análise e escolha da opção para atendimento da requisição; e prazo de atendimento,
    sem prejuízo de outras aqui não listadas.
    Independentemente da alternativa a ser escolhida, já é possível traçar algumas das
    alternativas para que as microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais possam cumprir com as principais obrigações decorrentes do exercício dos
    direitos dos titulares de dados de forma simplificada. Para isso, será analisada cada obrigação
    constante da LGPD separadamente.
    Página 36 de 74
    Em seu art. 18, a LGPD prevê o direito de o titular dos dados pessoais obter do controlador
    ações e informações em relação aos dados do titular por ele tratados, a qualquer momento e
    mediante requisição. Contudo, a lei não dispõe sobre os meios em que essa requisição será
    operacionalizada, cabendo então à regulamentação fazê-lo.
    No RGPD, o “pedido de acesso ao titular” previsto nos artigos 12 e 15 pode ser solicitado por
    telefone, pessoalmente ou por escrito, devendo a resposta ser feita pelo mesmo meio, exceto se o
    requerente solicitar por outra forma.
    O contexto de pandemia evidenciou a importância da utilização de meios remotos e digitais
    para os mais diversos serviços, impulsando a transformação digital em organizações públicas e
    privadas. Assim, entende-se que devem ser prestigiados os meios remotos – eletrônicos, digitais e
    telefônicos – de comunicação entre os agentes de tratamento e os titulares de dados, de modo a
    facilitar a troca de informações entre eles.
    Dessa forma, sugere-se que a norma deixe expressa a previsão da possibilidade de
    atendimento das requisições por meio eletrônico, telefônico ou impresso, a ser escolhido pelas
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais.
    Destaca-se, ainda, que essa previsão está em consonância com a experiência internacional.
    Seja ela em resolução única ou específica, essa obrigação pode, desde já, ser determinada
    na presente regulamentação, pois não afeta a regulamentação específica posterior sobre o direito
    dos titulares de dados (momento no qual as disposições serão aprofundadas) e não restringe os
    direitos do titular, mas tão somente permite o direcionamento para o seu exercício, ao mesmo
    tempo que desonera esse grupo de agentes de tratamento.
    No mesmo sentido, entende-se que o acesso pelo titular às informações sobre o tratamento
    de seus dados, disposto no art. 9º da LGPD, deveria poder ocorrer por meio eletrônico ou por
    qualquer outra forma, a fim de permitir o acesso facilitado entre esse grupo de agentes e o titular
    dos dados pessoais.
    Sobre a obrigação de anonimizar, bloquear ou eliminar os dados desnecessários, excessivos
    ou tratados em desconformidade com o disposto na LGDP quando solicitados pelo titular de dados,
    na forma do art. 18, inciso IV, da LGPD, cabe destacar que várias contribuições apresentadas na
    Página 37 de 74
    Tomada de Subsídios nº 1/2021 apontaram pela complexidade desta obrigação, principalmente
    com relação à anonimização.
    Segundo a LGPD, a anonimização consiste na utilização de meios técnicos razoáveis e
    disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de
    associação, direta ou indireta, a um indivíduo.
    Existem várias técnicas de anonimização31
    , que podem variar de complexidade a depender
    de sua aplicabilidade e finalidade. No entanto, a implementação dessas técnicas necessita da
    realização de uma avaliação criteriosa, conforme disposto no código de prática32 publicada pela
    autoridade de proteção de dados do Reino Unido.
    Tendo em vista a baixa maturidade das microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais no que se refere à adequação à LGPD, entendese como razoável flexibilizar essa obrigação, sem que isso implique na sua dispensa completa, que
    poderia restringir os direitos dos titulares de dados, mas deixando a cargo desse grupo de agentes
    a opção para atender à solicitação do titular de dados, permitindo, assim, uma diminuição de seus
    custos na adequação à LGPD.
    Assim, observa-se que essa solução busca proporcionar um equilíbrio entre o atendimento
    do dispositivo legal com a garantia do direito do titular de anonimizar, bloquear ou eliminar dados
    desnecessários, ao mesmo tempo em que se permite um tratamento diferenciado às
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais.
    Quanto à portabilidade dos dados do titular, prevista no art. 18, inciso V, da LGPD, cabe
    avaliar a possibilidade desse grupo de agentes ser dispensado dessa obrigação ou tê-la flexibilizada.
    Por um lado, a portabilidade de dados é benéfica para o titular de dados, porque pode
    facilitar o livre fluxo informacional entre os agentes de tratamento, possibilitando o exercício do
    direito de escolha pelo consumidor – a sua autodeterminação informacional, além de favorecer a
    31 PDPC. Guide to Basic Data Anonymisation Techniques. Disponível em: https://www.pdpc.gov.sg/-
    /media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf. Acesso em 05/08/2021.
    32 ICO. Anonymisation: managing data protection risk code of practice. Disponível em:
    https://ico.org.uk/media/1061/anonymisation-code.pdf. Acesso em 05/08/2021.
    Página 38 de 74
    concorrência no mercado, ao possibilitar que os dados sejam migrados para novos entrantes e, com
    isso, favorecer a competição.
    Contudo, a portabilidade exige investimentos financeiros e tecnológicos de
    interoperabilidade que podem se revelar desproporcionais à capacidade econômica desse grupo de
    agentes de tratamento de dados.
    Nesse sentido, o estudo33 publicado pela Organização para a Cooperação e Desenvolvimento
    Econômico (OCDE), dentre outros assuntos, trata da questão da portabilidade e interoperabilidade
    de dados. No estudo foi citado que a “portabilidade de dados prevista no RGDP impõe altos custos
    de conformidade”, e que quando aplicado a empresas que não possuem posição dominante em um
    mercado, pode impedir a concorrência e, em última análise, prejudicar os consumidores. Diante
    disso, o estudo cita o artigo34 de dois autores, Diker Vanberg e Ünve, que sugerem um regime de
    isenção para pequenas e médias empresas e empresas com uma pequena participação de mercado
    ou volume de negócios.
    A título de exemplo do desafio de assegurar a interoperabilidade de dados, menciona-se o
    Open Banking, iniciativa conduzida pelo Banco Central nos termos da Resolução Conjunta nº
    1/2020,
    35 a qual dispõe sobre o direito ao compartilhamento de dados bancários. Para tanto, as
    instituições participantes devem disponibilizar interfaces dedicadas ao compartilhamento de dados
    e serviços, os quais devem ser representados em meio digital e processáveis por máquina, em
    formato livre de restrição quanto à sua utilização. Cabe salientar que as instituições financeiras
    geralmente possuem sistemas altamente desenvolvidos e, devido à complexidade do projeto,
    precisaram de prazo razoável para efetivar a implementação, o que, comparativamente ao grupo
    de agentes aqui estudados, mostra-se de altíssimo custo para realização e implementação.
    33 OCDE. Consumer Data Rights and Competition – Background note. Disponível em:
    https://one.oecd.org/document/DAF/COMP(2020)1/en/pdf. Acesso em 05/08/2021.
    34 Diker Vanberg, A. e M. Ünver. “The right to data portability in the GDPR and EU competition law: odd couple or
    dynamic duo?”. Disponível em: https://arro.anglia.ac.uk/id/eprint/701565/1/Diker%20Vanberg_2017.pdf. Acesso em
    06/08/2021.
    35 BACEN. Resolução Conjunta nº 1, de 04 de maio de 2020. Disponível em:
    https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/51
    028/Res_Conj_0001_v2_P.pdf. Acesso em 05/08/2021.
    Página 39 de 74
    Nesse exemplo, o Banco Central estipulou que a adesão ao Open Banking era facultativa para
    as instituições financeiras de menor porte36:
    Somente as instituições financeiras e demais instituições autorizadas a funcionar
    pelo Banco Central podem participar do ecossistema do Open Banking. Entre esse
    universo de instituições, no entanto, a regulamentação prevê participantes
    obrigatórios e voluntários, a depender do porte da instituição e do dado ou
    serviço que está sendo compartilhado. Os maiores bancos, por exemplo, são
    participantes obrigatórios do Open Banking para o compartilhamento de dados.
    [grifamos]
    Diante disso, dispensar as microempresas, empresas de pequeno porte, startups e pessoas
    físicas que tratam dados pessoais da obrigação de conferir o direito à portabilidade, em um primeiro
    momento de estabelecimento de normas que simplifiquem obrigações e possibilitem uma
    adequação à LGPD enquanto não são estabelecidos parâmetros razoáveis que tornem essa
    prerrogativa viável, parece ser razoável, sem prejuízo de nova avaliação em momento de
    normatização do tema pela ANPD.
    Quanto à obrigação de envio de declaração a que se refere o art. 19, inciso II, da LGPD,
    entende-se que microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais podem ser dispensadas do envio da declaração completa, sendo suficiente o
    formato simplificado, já previsto no inciso I do mesmo artigo da lei.
    O art. 19 da lei trata da confirmação de existência ou o acesso a dados pessoais, mediante
    solicitação do titular, nos seguintes termos:
    Art. 19. A confirmação de existência ou o acesso a dados pessoais serão
    providenciados, mediante requisição do titular:
    I – em formato simplificado, imediatamente; ou
    II – por meio de declaração clara e completa, que indique a origem dos dados, a
    inexistência de registro, os critérios utilizados e a finalidade do tratamento,
    observados os segredos comercial e industrial, fornecida no prazo de até 15
    (quinze) dias, contado da data do requerimento do titular. [grifamos]
    Observa-se que os incisos I e II do art. 19 propõem duas alternativas para atender o comando
    do caput do artigo, sendo estes por meio de formato simplificado ou de declaração clara e completa.
    36 BACEN. Open Banking: instituições participantes. Disponível em:
    https://www.bcb.gov.br/estabilidadefinanceira/openbanking. Acesso em: 16/08/2021.
    Página 40 de 74
    Como já citado nesta análise, as microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais possuem dificuldades de adequação à LGPD, tanto que o
    art. 55-J, XVIII da referida lei estabeleceu que compete à ANPD editar regras simplificadas para esse
    grupo de agentes.
    Dessa forma, entende-se conveniente já indicar expressamente que o atendimento do art.
    19 da LGPD possa ocorrer por meio de formato simplificado, tendo em vista que isso diminui a
    complexidade do atendimento do dispositivo legal e, ao mesmo tempo, preserva o direito do titular
    de dados de receber a declaração sobre os seus dados.
    Por fim, no intuito de fomentar o apoio das entidades de representação da atividade
    empresarial relacionadas às microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais nas questões referentes aos direitos dos titulares – ponto trazido em
    algumas das contribuições da Tomada de Subsídios nº 1/2021, sugere-se a inclusão de uma previsão
    no sentido de que tais entidades possam prestar assessoria e auxiliar na negociação, na mediação e
    na conciliação de reclamações apresentadas por titulares de dados.
    No caso, a justificativa para o estabelecimento dessa possibilidade é o auxílio que essas
    entidades podem prestar a esse grupo de agentes de tratamento, que não possuem uma alta
    conformidade com as obrigações da LGPD. Com isso, espera-se que o cumprimento e a adaptação
    tanto quanto à LGPD quanto à norma a ser editada pela ANPD possam ser realizadas com menores
    custos a esse grupo de agentes de tratamento, bem como que se aumente o número de empresas
    adequadas ao sistema de proteção de dados, já que, com custos menores, a tendência é que mais
    empresas consigam se adequar com menos dificuldades.
    Além disso, o estabelecimento dessa previsão não restringe ou diminui os direitos dos
    titulares de dados, mas, sim, tende a beneficiá-los com o maior cumprimento das obrigações pelas
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    seja em resolução única, seja em resolução específica.
    Registro das Atividades de Tratamento
    O registro das atividades de tratamento está previsto no art. 37 da LGPD, que determina que
    “o controlador e o operador devem manter registro das operações de tratamento de dados pessoais
    que realizarem, especialmente quando baseado no legítimo interesse”. A lei, portanto, exige que
    Página 41 de 74
    esses agentes mantenham um inventário das informações relacionadas às operações de tratamento
    de dados que realizarem, desde a coleta do dado até sua exclusão.
    Contudo, a LGPD não fornece os contornos desse registro, nem dita quais elementos ele
    deve conter, diferente do RGPD, por exemplo, que prevê as informações que devem ser registradas
    tanto pelo controlador, quanto pelo operador. Ademais, a LGPD não prevê exceções ao dever de
    registro, de modo que, a princípio, ele se aplica a todos os agentes de tratamento, da mesma forma.
    O RGPD, ao contrário, informa que empresas que possuam menos de 250 funcionários não
    precisam manter registros do procedimento de tratamento de dados, a não ser quando os
    tratamentos realizados tenham alto potencial de resultar em um risco para os direitos e liberdades
    dos titulares, quando forem tratamentos habituais ou quando incluírem dados de categoria especial
    ou dados relacionados a ofensas e condenações criminais.
    Cabe à regulamentação brasileira, portanto, indicar os critérios que devem ser adotados pelo
    controlador e operador para o registro das atividades de tratamento de dados, bem como eventual
    flexibilização no dever de registro. No entanto, tendo em vista a falta de previsão de sua
    regulamentação pela Agenda Regulatória 2021-2022, a flexibilização das obrigações sobre o tema
    em resolução única promoveria maior segurança jurídica às microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais. Por sua vez, se a edição de resolução
    específica pode permitir o aprofundamento do tema, aguardar a sua edição sem que haja
    expectativa quanto ao seu endereçamento pela ANPD pode onerar de forma desproporcional esse
    grupo de agentes.
    Diante disso, cabe endereçar, aqui, quais seriam as flexibilizações possíveis em resolução
    única.
    Seguindo a lógica da experiência internacional, as alternativas para a flexibilização do dever
    de registro das operações de tratamento podem recair sobre os critérios de porte e capacidade
    econômica do agente de tratamento e ao risco atrelado à atividade de tratamento de dados.
    Iniciando pelo critério do porte econômico, no caso das microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais, o simples registro das
    atividades de tratamento de dados pessoais já representa, por si só, um desafio, eis que a atividade
    Página 42 de 74
    de registro e manutenção das informações envolve conhecimento jurídico e técnico, além de custo
    financeiro, considerando que se trata de uma atividade contínua a ser desempenhada.
    Manter o registro das atividades de tratamento, por outro lado, é importante para conferir
    segurança jurídica tanto a esse grupo de agentes de tratamento, quanto ao titular de dados, além
    de atender aos comandos da transparência, de accountability e do acesso aos dados pelo titular.
    Ainda que não mantidos os registros das atividades de tratamento de dados pessoais, é importante
    que as organizações conheçam o ciclo de vida dos dados, como e quais dados coleta e que atividades
    de tratamento realizam.
    Considerando, no entanto, o pequeno volume de dados envolvido nas atividades das
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    o registro torna-se uma exigência desproporcional em razão do custo envolvido, seja em termos de
    capacitação jurídica e técnica, seja em termos financeiros para manutenção contínua dessa
    atividade.
    Com efeito, trazer exigências cujo investimento por esse grupo de agentes não é razoável
    face ao benefício obtido e à possibilidade de afetar a capacidade efetiva de o agente atuar em
    conformidade com a previsão legal, o que não é desejável. Além disso, sem esse investimento
    dificilmente o comando legal pode ser cumprido, dado que, em geral, as microempresas, empresas
    de pequeno porte, startups e pessoas físicas que tratam dados pessoais não sabem como registrar
    as atividades de tratamento, tendo assim que recorrer a consultorias externas ou, eventualmente,
    deixar as questões de privacidade e proteção de dados em segundo plano. De fato, a manutenção
    dos registros de atividades de tratamento requer uma estrutura organizacional mais robusta, com
    programas de governança já estruturados, processos internos bem definidos, e políticas e
    capacitação específicas para proteção de dados, o que não condiz com a desse grupo de agentes.
    Assim, a dispensa da obrigação de manutenção de registros das operações de tratamento
    de dados pessoais constante do art. 37 da LGPD para as microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais é uma alternativa que se mostra viável
    de acordo com a realidade e a capacidade limitada dos referidos agentes, e não impõe ônus
    desproporcional, que pode inviabilizar a sua atuação em conformidade com a regulamentação da
    LGPD e com seu próprio desenvolvimento econômico.
    Página 43 de 74
    Cabe destacar, ademais, que o critério de risco também está sendo levado em consideração
    neste contexto, na medida em que a obrigação ora flexibilizada não se aplica a esse grupo de
    agentes de tratamento que realizem tratamento de alto risco para os titulares. Portanto, tanto o
    critério do porte econômico, quanto o critério do risco envolvido, estão sendo levados em
    consideração nessa alternativa regulatória.
    Relatório de Impacto à Proteção de Dados Pessoais
    O relatório de impacto à proteção de dados está previsto no art. 5º, inciso XVII, da LGPD,
    como a “documentação do controlador que contém a descrição dos processos de tratamento de
    dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como
    medidas, salvaguardas e mecanismos de mitigação de risco”.
    Trata-se, portanto, de um relatório elaborado para avaliação periódica de riscos de uma
    atividade de tratamento de dados que pode gerar prejuízos ao titular. Nesse sentido, o que vai
    determinar a necessidade de sua elaboração não é a natureza do agente de tratamento, mas, sim,
    o alto risco potencialmente envolvido na atividade de tratamento de dados.
    O tema está previsto no item 7 da Agenda Regulatória para o biênio 2021-2022 da ANPD,
    sendo que seu processo de regulamentação já foi iniciado, conforme relatório de acompanhamento
    da agenda.
    37
    Espera-se que o normativo a ser editado sobre o tema defina as metodologias que a ANPD
    irá adotar para estabelecer as operações de tratamento de dados de alto risco que ensejarão a
    necessidade de elaboração de um relatório de impacto à proteção de dados.
    Se por um lado a inclusão da simplificação em norma única favorece esse grupo de agentes
    de tratamento ao desonerá-los, por outro, conferir um regime diferenciado às microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais, antes da
    discussão propriamente dita do assunto no âmbito de seu próprio processo de regulamentação não
    se mostra eficiente, considerando que o agente de tratamento não é o principal elemento nesta
    análise, mas, sim, o risco envolvido para o titular de dados.
    37 Nota Técnica nº 23/2021/CGN/ANPD – Relatório de Acompanhamento e Execução da Agenda Regulatória para o
    biênio 2021-2022
    Página 44 de 74
    Assim, ainda que se conclua pela inclusão do tema em resolução única, entende-se que não
    seria possível já prever as flexibilizações para as microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais.
    Comunicação de Incidentes de Segurança
    O art. 48 da LGPD dispõe que o controlador deve comunicar à ANPD e ao titular de dados a
    ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
    Neste sentido, o item 6 da Agenda Regulatória 2021-2022 da ANPD tem como escopo regulamentar
    essa obrigação, que já teve o seu processo de regulamentação iniciado, conforme relatório de
    acompanhamento da agenda.
    38
    No âmbito da regulamentação, espera-se que sejam realizados estudos sobre as
    vulnerabilidades no tratamento de dados que possam acarretar riscos ou danos relevantes aos
    titulares, bem como sobre uma metodologia para cálculo do índice de gravidade de incidentes de
    segurança, dentre outros fatores.
    Um dos principais argumentos para antecipar o tratamento do assunto em resolução única
    diz respeito aos custos relacionados à comunicação de incidentes de segurança. Nesse sentido, cabe
    salientar que na Tomada de Subsídios nº 1/2021 foram apresentadas contribuições no sentido de
    que os custos de implementação de um projeto de proteção de dados, incluindo a obrigação na
    íntegra de comunicação de incidentes disposta na LGPD são elevados, tanto sob a ótica financeira
    quanto sob a ótica de capital humano. Assim, eventuais flexibilizações poderiam diminuir custos
    para o cumprimento das obrigações dispostas pela LGPD pelas microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais.
    Por outro lado, assim como no caso do relatório de impacto, a norma específica poderá
    estabelecer todas as previsões necessárias para endereçar o assunto, bem como espera-se que o
    processo de regulamentação aprofunde o estudo do tema de maneira adequada.
    Assim, diante da complexidade do tema, sugere-se que, caso incluída em eventual resolução
    única, a previsão seja de possibilidade de edição de um modelo de comunicação simplificada a ser
    38 Nota Técnica nº 23/2021/CGN/ANPD – Relatório de Acompanhamento e Execução da Agenda Regulatória para o
    biênio 2021-2022
    Página 45 de 74
    disponibilizado pela ANPD, tendo em vista já existir um modelo geral disponível no site da
    Autoridade.
    Destaca-se que um procedimento simplificado de comunicação de incidentes não implica
    em uma restrição aos direitos dos titulares de dados, tendo em vista que a premissa aqui adotada
    é que a comunicação ainda será realizada e os titulares de dados ainda serão informados, mas com
    um formulário de comunicação que gere um ônus menor às microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais.
    Encarregado
    A LGPD determina a obrigação de indicação de encarregado nos termos do art. 41:
    Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados
    pessoais.
    § 1º A identidade e as informações de contato do encarregado deverão ser
    divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio
    eletrônico do controlador.
    § 2º As atividades do encarregado consistem em:
    I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
    adotar providências;
    II – receber comunicações da autoridade nacional e adotar providências;
    III – orientar os funcionários e os contratados da entidade a respeito das práticas a
    serem tomadas em relação à proteção de dados pessoais; e
    IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas
    em normas complementares.
    § 3º A autoridade nacional poderá estabelecer normas complementares sobre a
    definição e as atribuições do encarregado, inclusive hipóteses de dispensa da
    necessidade de sua indicação, conforme a natureza e o porte da entidade ou o
    volume de operações de tratamento de dados.
    O tema foi incluído na Agenda Regulatória 2021-2022 e não teve o seu processo de
    regulamentação iniciado até o momento.
    Segundo as contribuições da Tomada de Subsídios nº 1/2021, como o levantamento da
    CNI,
    39 o custo anual de contratação de um encarregado de dados foi estimado em R$ 360.000,00, o
    39 Pequenas empresas têm tratamento especial na LGPD na Europa e Austrália. Disponível em:
    https://noticias.portaldaindustria.com.br/noticias/economia/pequenas-empresas-tem-tratamento-especial-na-lgpdna-europa-e-australia/ Acesso em 21/07/2021.
    Página 46 de 74
    que equivale, praticamente, ao teto do faturamento das microempresas e empresas de pequeno
    porte nos termos da Lei nº 123/2006.
    Sobre esse ponto, apenas a título de exemplo, os salários de um encarregado na Europa
    atingiam a média anual de 88.000 euros em maio de 2019, considerando as 500.000 empresas que
    já haviam nomeado seus encarregados.40
    Dessa forma, considera-se possível evidência de dificuldade de recursos financeiros e
    humanos para que microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais indiquem o encarregado de dados. No entanto, cabe destacar que aqueles
    agentes que realizarem tratamento de alto risco para os titulares devem indicar o encarregado com
    objetivo de reduzir os riscos de tratamentos inadequados de acordo com a LGPD, bem como evitar
    incidentes de segurança. Cabe lembrar que o tema 1 deste relatório de AIR já abordou as questões
    relacionadas à definição de tratamento de alto risco para os titulares de dados.
    Além disso, entende-se inviável que o microempreendedor individual contrate um
    encarregado de dados, mesmo que realize tratamento de alto risco, tendo em vista que são
    empreendedores que trabalham por conta própria com receita bruta anual igual ou inferior a R$
    81.000,00 (oitenta e um mil reais), nos termos do art. 18-A da Lei Complementar nº 123/2006.
    Ademais, os microempreendedores geralmente são profissionais que realizam tratamento
    de dados pessoais simplificados, como por exemplo, coleta e armazenamento de dados pessoais.
    Para tal, utilizam softwares e plataformas, inclusive de serviços em nuvem, fornecidas por empresas
    globais que baseiam o desenvolvimento de seus produtos em recomendações internacionais de
    segurança e de boas práticas.
    Caso a flexibilização do cumprimento dessas obrigações seja feita em normativo único,
    entende-se que seriam enfrentadas dificuldades similares àquelas elencadas nos casos do relatório
    de impacto à proteção de dados pessoais e de comunicação de incidentes de segurança, ou seja,
    seria necessário se estabelecer flexibilizações antes das definições gerais sobre o tema.
    40 INTERNATIONAL ASSOCIATION OF PRIVACY PROFESSIONALS (IAPP). Approaching One Year of GDPR Anniversary, IAPP
    Reports Estimated 500,000 Organizations Registered DPOs In Europe. Disponível em
    https://iapp.org/about/approaching-one-year-gdpr-anniversary-iapp-reports-estimated-500000-organizationsregistered-dpos-in-europe/. Acesso em: 29/07/2021.
    Página 47 de 74
    No entanto, tendo em vista o alto custo que a obrigação de indicação de um encarregado
    impõe, sugere-se que no caso de inclusão do tema em resolução única seja prevista a dispensa da
    sua indicação por microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais. No caso, isso não implicaria inexistência de canais de comunicação entre
    esse grupo de agentes de tratamento e os titulares de dados, mas tão somente a possibilidade de
    desempenho dessa função de formas alternativas, de forma que os direitos dos titulares de dados
    seriam preservados.
    Prazos diferenciados
    Com relação à adoção de prazos diferenciados para atendimento das obrigações da LGPD
    para as microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais, entende-se que, diante da baixa maturidade e recursos limitados desse grupo de agentes
    de tratamento, o cumprimento dos prazos definidos pela ANDP pode se tornar outra barreira para
    a inserção destes agentes de tratamento no arcabouço regulatório de proteção de dados.
    Nessa linha, o art. 55-J, XVIII, da LGPD, que trata das normas, orientações e procedimentos
    simplificados para microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais, define expressamente a possiblidade de prazos diferenciados para esses
    agentes.
    Cabe esclarecer que, com exceção do art. 19, II, da LGPD, a lei endereça os tratamentos de
    prazos para a regulamentação específica, que definirá os prazos mais apropriados.
    Se por um lado uma previsão relacionada aos prazos em normativo único encontra
    dificuldades relacionadas à inexistência de definição dos prazos para cumprimento de obrigações
    para todos os agentes, por outro a inclusão de previsão sobre o tema tende a gerar segurança
    jurídica para as microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais. Caso essa previsão seja incluída em normas específicas, os benefícios esperados são
    os mesmos, porém deixando esse grupo de agentes sem informações quanto à flexibilização em
    relação ao tema.
    Assim, independentemente da alternativa regulatória que venha a ser adotada, entende-se
    que o modelo com uma flexibilização de prazos com abordagem de contagem em dobro
    possibilitará que as microempresas, empresas de pequeno porte, startups e pessoas físicas que
    Página 48 de 74
    tratam dados pessoais possam adequar-se à LGPD sem causar danos ou colocar em risco os direitos
    dos titulares de dados.
    Resumo da análise da alternativa A
    Grupos afetados Desafios Benefícios
    ANPD Definição de dispensas e flexibilizações de
    obrigações para um grupo específico sem
    antes definir o modelo regulatório geral das
    obrigações previstas na LGPD.
    Risco de elevar o número de processos
    sancionatórios e, consequentemente, longa
    duração das decisões desses processos,
    caso não sejam identificadas todas as
    obrigações passíveis de flexibilização ou
    dispensa.
    Risco de percepção social de pouca
    efetividade das ações da ANPD, caso não
    sejam identificadas todas as obrigações
    passíveis de flexibilização ou dispensa.
    Maior rapidez na publicação das regras
    de flexibilização ou de dispensa das
    obrigações.
    Microempresas,
    empresas de
    pequeno porte,
    startups e
    pessoas físicas
    que tratam dados
    pessoais
    Risco de aumento de despesas para
    atendimento das obrigações, caso não
    sejam identificadas todas as obrigações
    passíveis de flexibilização ou dispensa.
    Risco de reduzir o número de agentes desse
    grupo, caso não sejam identificadas todas
    as obrigações passíveis de flexibilização.
    Risco de reduzir investimentos nos negócios
    principais destes agentes, incluindo a
    inovação, caso não sejam identificadas
    todas as obrigações passíveis de
    flexibilização ou dispensa.
    Consolidação das flexibilizações das
    obrigações em instrumento normativo
    único.
    Maior rapidez na efetividade da
    flexibilização ou de dispensa da
    obrigação.
    Titulares de dados
    pessoais
    Risco de elevar as ameaças aos direitos dos
    titulares, caso ocorram dispensas ou
    flexibilizações equivocadas das obrigações.
    Não foram identificados benefícios.
    Fabricantes de
    softwares e
    plataformas
    Risco de redução de demandas
    proporcionada por esse grupo de agentes.
    Os agentes ficam menos propensos a fazer
    investimentos, já que existe o risco de que
    não se atinja a conformidade.
    Não foram identificados benefícios.
    Prestadores de
    consultoria
    Risco de redução de demandas
    proporcionada por esse grupo de agentes.
    Esses agentes ficam menos propensos a
    fazer investimentos, já que existe o risco de
    que não se atinja a conformidade.
    Não foram identificados benefícios.
    Página 49 de 74
    3.2.2.3 Alternativa B – Adoção de modelo regulatório de simplificação e flexibilização das
    obrigações em resoluções específicas
    Com a adoção do modelo regulatório de simplificação e flexibilização das obrigações em
    resoluções específicasreferentes à cada obrigação, espera-se que os temas sejam tratados de forma
    completa, respeitando as suas respectivas complexidades, sem o estabelecimento de regras
    antecipadas apenas para um grupo de agentes.
    No entanto, mesmo que essa opção seja adotada, destaca-se que será necessária a edição
    de uma norma para definir quais agentes de tratamento fazem jus aos regimes simplificados que
    serão previstos nas normas específicas. A seguir são feitas as análises dessa alternativa, seguindo a
    divisão das principais obrigações da LGPD.
    Das obrigações relacionadas aos direitos do titular
    A regulamentação dos direitos dos titulares de dados pessoais consta do item 4 da Agenda
    Regulatória da ANPD para o biênio 2021-2022, cujo início do processo regulatório está previsto para
    o 1º semestre de 2022.
    Com isso, tem-se que a flexibilização das obrigações referentes aos direitos dos titulares a
    serem cumpridas pelas microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais, caso seja determinada apenas na regulamentação específica, seria definida
    somente a partir do próximo ano.
    Tal cenário pode gerar insegurança jurídica quanto ao cumprimento das obrigações por esse
    grupo de agentes, tendo em vista não disporem de tantos instrumentos e capacitação técnica para
    agirem em conformidade com a LGPD, necessitando, assim, de orientações mais céleres e
    tempestivas.
    Por outro lado, a previsão de regime simplificado em norma específica possibilita um
    aprofundamento do tema pela ANPD, de forma que a flexibilização poderá englobar um número
    maior de aspectos relacionados às obrigações do encarregado para as microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais.
    Do Registro das Atividades de Tratamento
    Página 50 de 74
    A regulamentação do registro das atividades de tratamento não foi prevista como uma das
    atividades normativas a serem desempenhadas pela ANPD pelos próximos 2 (dois) anos conforme
    a Agenda Regulatória 2021-2022.
    Sem prejuízo de eventual inclusão desse tema na Agenda 2021-2022 em caso de eventual
    alteração ou inclusão na próxima agenda que venha a ser publicada, a simplificação do tema para
    as microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais em resolução específica pode onerar esse grupo de empresas de forma incompatível com
    o faturamento por ele auferido. Como dito anteriormente, o investimento envolvido na atividade
    de registro e manutenção de informações de tratamento de dados é alto para esse grupo de agentes
    de tratamento, dado o pequeno volume de dados com os quais trabalham, mostrando-se assim uma
    medida desproporcional.
    Por outro lado, a alternativa de flexibilizar a obrigação de realizar o registro em uma
    resolução específica sobre a matéria pode permitir um estudo mais aprofundado do tema.
    Do Relatório de Impacto à Proteção de Dados Pessoais
    O relatório de impacto à proteção de dados é um dos temas prioritários e previstos para
    edição de regulamentação específica pela ANPD, conforme prevê o item 7 da Agenda Regulatória
    para o biênio 2021-2022 e cujo processo de regulamentação já foi iniciado, nos termos do relatório
    de acompanhamento da agenda regulatória.41 Assim, espera-se que as metodologias e os critérios
    a serem adotados pela ANPD para estabelecer quais serão as operações de tratamento de dados
    consideradas de alto risco e que, portanto, ensejarão a necessidade de elaboração de um relatório
    de impacto à proteção de dados, sejam determinadas no âmbito da regulação específica.
    Se por um lado a não inclusão de normas diferenciadas sobre o relatório de impacto à
    proteção de dados para as microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais pode gerar insegurança para esse grupo, cabe argumentar que a sua
    obrigatoriedade de elaboração advém da natureza da atividade de tratamento desenvolvida e de
    sua potencial violação aos direitos dos titulares de dados e que espera-se que a resolução de regime
    simplificado para esse grupo de agentes não se aplique aos agentes de tratamento que realizem
    41 Nota Técnica nº 23/2021/CGN/ANPD – Relatório de Acompanhamento e Execução da Agenda Regulatória para o
    biênio 2021-2022
    Página 51 de 74
    tratamento de alto risco. Assim, pode-se argumentar que os destinatários da norma não seriam de
    fato prejudicados com um normativo específico, tendo em vista que essa obrigação não se
    destinaria a eles.
    Contudo, embora o que determine a necessidade de elaboração de um relatório de impacto
    não seja a natureza do agente de tratamento, é certo que a sua forma pode ser diferenciada para
    esse grupo de agentes de tratamento que possui menor capacidade de se estruturar para
    apresentar um relatório completo e detalhado. Assim, podem as microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais dispor de um instrumento
    simplificado para elaboração do relatório de impacto.
    Da Comunicação de Incidentes de Segurança
    Como já mencionado neste relatório, o item 6 da Agenda Regulatória 2021/2022 da ANPD
    trata do tema, cuja regulamentação já foi iniciada pela ANPD, conforme relatório de
    acompanhamento da Agenda.
    42
    Nesse sentido, nota-se que já existe previsão de edição de normativo específico sobre o
    assunto, que pode incluir todas as previsões a serem simplificadas a partir de uma análise mais
    aprofundada, podendo de fato identificar as vulnerabilidades no tratamento de dados que possam
    acarretar riscos ou danos relevantes aos titulares, bem como estabelecer uma metodologia para
    cálculo do índice de gravidade de incidentes de segurança. A partir desses estudos, seria possível
    para ANPD ter maturidade suficiente para avaliar as simplificações ou as flexibilizações das
    obrigações.
    Por outro lado, a ausência de qualquer sinalização de eventual flexibilização a ser
    estabelecida pela ANPD pode gerar um aumento de custo às microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais, além de gerar insegurança jurídica.
    Outro aspecto é que esse grupo de agentes pode realizar uma adequação sobre o assunto para, a
    partir de edição de norma específica, ter que realizar uma adaptação.
    Do Encarregado
    42 Nota Técnica nº 23/2021/CGN/ANPD – Relatório de Acompanhamento e Execução da Agenda Regulatória para o
    biênio 2021-2022
    Página 52 de 74
    A Agenda Regulatória da ANPD para o biênio 2021/2022 prevê a regulamentação do tema,
    com previsão para início do seu processo de regulamentação no primeiro semestre de 2022.
    Identifica-se, assim, que o primeiro prejuízo em se estabelecer o regime simplificado para
    essa obrigação para as microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais é o tempo que se levaria até a publicação da versão final da norma sobre o
    assunto. Nesse sentido, cabe destacar que este relatório já elencou as dificuldades de recursos
    financeiros e humanos para que esse grupo de agentes arquem com a obrigação de indicar o
    encarregado de dados.
    Por outro lado, a simplificação em resolução específica poderá aprofundar o estudo do tema
    e eventualmente realizar novas flexibilizações que beneficiem as microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais.
    Dos prazos diferenciados
    Sobre a adoção de prazos diferenciados para atendimento das obrigações da LGPD para as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    conforme já esclarecido neste relatório, entende-se que, diante da baixa maturidade em relação ao
    cumprimento da LGPD e dos recursos limitados desse grupo de agentes, o cumprimento dos prazos
    definidos pela ANDP pode ser tornar outra barreira para a inserção desses agentes no arcabouço
    regulatório de proteção de dados.
    Dessa forma, entende-se que, independentemente da alternativa regulatória adotada, a
    adoção de uma flexibilização quanto aos prazos – sugerindo-se aqui a sua contagem em dobro –
    possibilitará que esse grupo possa se adequar à LGPD sem causar danos ou colocar em risco os
    direitos dos titulares de dados.
    A definição relacionada aos prazos em resoluções específicas permitirá que esse grupo de
    agentes saiba, de fato, qual é o prazo esperado para o cumprimento das obrigações, conferindo,
    assim, maior segurança jurídica. Por outro lado, a espera para essa definição em resoluções
    específicas deixará as microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais sem informações sobre o tema, gerando, assim, insegurança jurídica.
    Resumo da análise da alternativa B
    Página 53 de 74
    Grupos afetados Desafios Benefícios
    ANPD Maior demora na definição das regras de
    dispensa e flexibilização das obrigações
    para agentes de tratamento de pequeno
    porte.
    Percepção social de demora na efetividade
    das ações regulatórias da ANPD.
    Maior maturidade na análise da
    dispensa ou da flexibilização das
    obrigações.
    Realização dos estudos de dispensa e
    flexibilização tendo maior
    conhecimento e maturidade quanto à
    obrigação geral a todos os agentes.
    Oportunidade de maior eficácia nos
    resultados regulatórios esperados.
    Microempresas,
    empresas de
    pequeno porte,
    startups e
    pessoas físicas
    que tratam dados
    pessoais
    Maior demora na efetividade das regras de
    flexibilizações ou de dispensa das
    obrigações
    Maior discussão sobre a matéria a ser
    tratada no normativo específico.
    Oportunidade de maior eficácia e
    efetividade das flexibilizações ou de
    dispensas das obrigações.
    Titulares de dados
    pessoais
    Não foram identificados problemas. Oportunidade de reduzir as ameaças
    aos direitos dos titulares, caso as
    dispensas ou flexibilizações das
    obrigações sejam mais eficazes.
    Fabricantes de
    softwares e
    plataformas
    Não foram identificados problemas. Oportunidade de aumento de
    demandas proporcionada pelas
    microempresas, empresas de pequeno
    porte, startups e pessoas físicas que
    tratam dados pessoais.
    Prestadores de
    consultoria
    Não foram identificados problemas. Oportunidade de aumento de
    demandas proporcionada pelas
    microempresas, empresas de pequeno
    porte, startups e pessoas físicas que
    tratam dados pessoais.
    3.2.3 CONCLUSÃO E ALTERNATIVA SUGERIDA
    3.2.3.1 Qual a conclusão da análise realizada?
    Considerando as alternativas apresentadas como solução para os problemas relacionados à
    simplificação ou à flexibilização das obrigações da LGPD para microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais, identificou-se que, em razão dos
    desafios e benefícios elencados para cada um dos grupos afetados, que a Alternativa A é a mais
    adequada para endereçar o tema.
    Isso porque a edição de uma norma com a definição do conceito do grupo de agentes de
    tratamento aos quais a norma se aplicará e dos critérios de aplicação, bem como o adiantamento
    Página 54 de 74
    da flexibilização em relação a algumas obrigações identificadas como passíveis de flexibilização no
    presente momento e o estabelecimento de formas diferenciadas de cumprimento de outras se
    mostra como a opção mais adequada para as microempresas, empresas de pequeno porte, startups
    e pessoas físicas que tratam dados pessoais, sem prejudicar os direitos dos titulares de dados.
    No entanto, é preciso reconhecer que as flexibilizações relacionadas às obrigações mais
    complexas precisam de análise mais profunda, e que ocorrerão, portando, no âmbito dos projetos
    de elaboração das resoluções específicas.
    Dessa forma, a opção pela alternativa A parcialmente conjugada com a alternativa B permite
    o atendimento do disposto no art. 55-J, XVIII, da LGPD, com a publicação de resolução que defina o
    grupo de agentes endereçados pela norma, considerando o porte das empresas e o tratamento de
    alto risco aos titulares de dados, e permite a inserção de algumas flexibilizações ou simplificações
    de obrigações consideradas evidentes. Ao mesmo tempo, essa opção possibilita que outras
    flexibilizações sejam avaliadas na execução de projetos de regulamentação de temas específicos,
    no qual espera-se que já se tenha maior maturidade sobre os assuntos a serem regulados.
    3.2.3.2 Como será operacionalizada a alternativa sugerida?
    Sobre a operacionalização da alternativa A parcialmente conjugada com a alternativa B,
    sugere-se que a ANPD adote uma atuação em duas frentes: i) elaboração de guias, frameworks,
    templates e formulários simplificados para apoiar a disseminação da cultura de proteção de dados,
    bem como disseminar o conhecimento da LGPD e ii) publicação de resolução para definição do
    conceito dos agentes de tratamento aos quais a norma se aplica, bem como inclusão na referida
    norma de algumas das flexibilizações das obrigações dispostas na LGPD, sem prejuízo de novas
    previsões em normas específicas.
    Sobre o primeiro item, a ANPD já vem atuando de forma orientativa, com publicações de
    documentos com o objetivo de disseminação do conhecimento sobre a proteção de dados, tendo
    como base a LGPD. A título exemplificativo, tem-se a publicação do “Guia Orientativo para
    Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”,
    43 que buscou
    estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a
    43 Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em:
    https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-orientativo-sobre-agentes-de-tratamento-eencarregado. Acesso em 30/07/2021.
    Página 55 de 74
    função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes
    de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas
    frequentes sobre o assunto.
    Quanto à flexibilização das obrigações, propõe-se a seguinte abordagem na minuta da
    resolução a partir das análises feitas e das justificativas para sugestões de abordagens ao longo dos
    estudos das alternativas do tópico anterior.
    Das obrigações relacionadas aos direitos do titular
    Em relação às obrigações relacionadas aos direitos do titular, propõe-se que as requisições
    dos titulares de dados pessoais descritas no art. 18 da LGPD possam ser atendidas por meio
    eletrônico, telefônico ou impresso, deixando a cargo das microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais a escolha pelo meio que lhe for mais
    conveniente. Essa alternativa não restringe o direito do titular, mas direciona a forma pela qual ele
    poderá ser exercido, ao mesmo tempo que não onera em demasia esse grupo de agentes de
    tratamento.
    Pelo mesmo motivo, sugere-se que quando for solicitado pelo titular de dados, na forma do
    art. 18, inciso IV, da LGPD, as microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais tenham a faculdade de optar por anonimizar, bloquear ou eliminar os
    dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGDP.
    No que tange à portabilidade dos dados do titular, conforme previsto no art. 18, inciso V, da
    LGPD, recomenda-se que esse grupo de agentesseja dispensado dessa obrigação, também em razão
    da onerosidade da medida, que não faz jus ao benefício do titular em relação ao custo envolvido
    para obtê-lo.
    Quanto à declaração a que se refere o art. 19, inciso II, da LGPD, entendeu-se que as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    podem ser dispensadas do envio da declaração completa, sendo suficiente a adoção de formato
    simplificado, já previsto no inciso I do mesmo artigo da lei.
    Já quanto ao acesso pelo titular às informações sobre o tratamento de seus dados, disposto
    no art. 9º da LGPD, sugere-se que possa ocorrer por meio eletrônico ou por qualquer outra forma,
    a fim de permitir o acesso facilitado entre as microempresas, empresas de pequeno porte, startups
    Página 56 de 74
    e pessoas físicas que tratam dados pessoais e o titular dos dados pessoais, ao mesmo tempo que
    não implica aumento de despesas para esse grupo de agentes de tratamento.
    Por fim, no intuito de fomentar o apoio das entidades de representação da atividade
    empresarial relacionadas às microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais nas questões referentes aos direitos dos titulares, sugere-se que elas
    possam prestar assessoria e auxiliar na negociação, na mediação e na conciliação de reclamações
    apresentadas por titulares de dados, incluindo aquelas que realizem tratamento de alto risco para
    os titulares.
    Do Registro das Atividades de Tratamento
    Com relação ao registro das atividades de tratamento, previsto no do art. 37 da LGPD,
    sugere-se que as microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais que não realizem tratamento de dados de alto risco para os titulares, sejam
    dispensadas da obrigação de manutenção de registros das operações de tratamento de dados
    pessoais dado o pequeno volume de dados envolvido nas atividades desses agentes.
    Do Relatório de Impacto à Proteção de Dados Pessoais
    Em relação ao relatório de impacto à proteção de dados pessoais, entende-se ser suficiente
    a inclusão de previsão de apresentação de um relatório de forma simplificada pelas microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais, cujo modelo será
    definido em resolução específica sobre o assunto quando houver tal exigência, tendo em vista que
    a ANPD já estuda a elaboração de uma norma sobre o tema. Isso permitirá o amadurecimento da
    matéria e uma melhor avaliação sobre os critérios de simplificação que poderão ser adotados pelas
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    sem prejuízo do risco envolvido para os direitos dos titulares de dados.
    Ainda que não definido o formato simplificado, a proposta não se mostra inócua ou
    irrelevante, pois acena positivamente para esse grupo de agentes, no sentido de que não precisarão
    investir de maneira desproporcional à sua capacidade econômica para se adequar aos termos da
    LGPD. Confere, assim, uma sinalização positiva para que, quando o assunto for regulamentado,
    sejam avaliadas e levadas em consideração as possibilidades de simplificação do modelo, para
    viabilizar a devida conformidade por esses agentes.
    Página 57 de 74
    Da Comunicação dos Incidentes de Segurança
    Diante do que já foi demonstrado neste relatório, sugere-se que a simplificação relacionada
    à obrigação de comunicar um incidente de segurança seja tratada em resolução específica. No caso,
    há previsão de edição de norma específica sobre o tema, que já é estudado de forma pormenorizada
    pela ANPD, nos termos da Agenda Regulatória 2021-2022, conforme pode ser observado no
    relatório de acompanhamento da Agenda44
    Apesar disso, sugere-se que seja antecipada a previsão da possibilidade de flexibilização ou
    de adoção de procedimento simplificado de comunicação de incidente de segurança para as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    a fim de que o assunto possa ser avaliado no momento oportuno, ao tempo em que se sinaliza a
    esse grupo de agentes a possibilidade de que regras diferenciadas venham a ser editadas sobre o
    assunto, tendo em vista as preocupações apresentadas ao longo da Tomada de Subsídios.
    Do Encarregado
    Diante das restrições financeiras e de pessoal, entende-se que destacar uma pessoa para
    exercer a função de encarregado no âmbito de uma microempresa, empresa de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais não é necessário para os fins do art. 41 da
    LGPD, cujo papel pode ser exercido por algum integrante da empresa, sem necessidade de indicação
    específica.
    Tal dispensa está em consonância com o previsto no § 3º do art. 41 da LGPD, que dispõe
    que:
    § 3º A autoridade nacional poderá estabelecer normas complementares sobre a
    definição e as atribuições do encarregado, inclusive hipóteses de dispensa da
    necessidade de sua indicação, conforme a natureza e o porte da entidade ou o
    volume de operações de tratamento de dados.
    Além disso, sugere-se que para o microempreendedor individual e para a pessoa física que
    trata dados pessoais a dispensa de indicação ocorra mesmo que eles realizem tratamento de alto
    risco para os titulares, já que essa categoria se resume a uma única pessoa que deverá adotar todas
    44 Nota Técnica nº 23/2021/CGN/ANPD – Relatório de Acompanhamento e Execução da Agenda Regulatória para o
    biênio 2021-2022
    Página 58 de 74
    as medidas relacionadas à proteção de dados pessoais dentro da empresa, concentrando em si os
    papéis de controlador e encarregado.
    Por fim, propõe-se que as microempresas, empresas de pequeno porte, startups e pessoas
    físicas que tratam dados pessoais que não indicarem um encarregado tenham a obrigação de
    disponibilizar um canal de comunicação com o titular de dados, a fim de se garantir um meio em
    que possam ser recebidas as reclamações e feitas as comunicações com os titulares de dados
    pessoais. Dessa forma, preserva-se o direito do titular de manter um contato direito com esse grupo
    de agentes de tratamento, sem que isso os onere de forma desproporcional.
    Dos prazos diferenciados
    Quanto aos prazos diferenciados, sugere-se pela abordagem de concessão de prazo contado
    em dobro em relação ao concedido a outros agentes de tratamento nos seguintes casos:
    a) no atendimento das solicitações dos titulares referentes ao tratamento de seus dados
    pessoais, conforme previsto no art. 18, parágrafos 3º e 5º, e no art. 19 da LGPD, nos
    termos da resolução específica;
    b) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa
    acarretar risco ou dano relevante aos titulares, nos termos da resolução específica;
    c) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de
    informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes
    de tratamento.
    Além disso, os prazos em dobro não especificados na proposta para esse grupo de agentes
    de tratamento serão determinados por resoluções específicas.
    Assim, preservam-se os direitos dos titulares ao mesmo tempo que se diminuem a
    complexidade e os custos de obrigações para as microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais.
    3.2.3.3 Como a alternativa sugerida será monitorada?
    Sobre o monitoramento da alternativa A, ressalta-se que o monitoramento da efetividade
    da adaptação das microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais às obrigações dispostas na LGPD será realizado por meio do
    Página 59 de 74
    acompanhamento das atividades de monitoramento e fiscalização desempenhadas pela
    Coordenação-Geral de Fiscalização, bem como por meio da elaboração dos relatórios anuais de
    gestão da ANPD. No caso, será possível aferir se as reclamações sobre esses agentes advêm da não
    conformidade das obrigações dispostas na LGPD.
    Nesse sentido, sugere-se acompanhar a quantidade de reclamações de titulares de dados,
    discriminadas pelo tipo de obrigação, em face às microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais e a quantidade de processos sancionatórios
    instaurados contra eles. Uma vez que não existem dados históricos sobre essas informações, a
    coleta e o acompanhamento desses dados poderão servir de base para eventuais revisões da
    alternativa escolhida.
    3.3 TEMA 3 – SEGURANÇA DA INFORMAÇÃO PARA PROTEÇÃO DE DADOS PESSOAIS E BOAS
    PRÁTICAS
    3.3.1 RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO
    3.3.1.1 Introdução
    A LGPD estabeleceu obrigações relacionadas à segurança e ao sigilo de dados, conforme
    disposto nos arts. 46, 47, 48 e 49, nos seguintes termos:
    CAPÍTULO VII
    DA SEGURANÇA E DAS BOAS PRÁTICAS
    Seção I
    Da Segurança e do Sigilo de Dados
    Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e
    administrativas aptas a proteger os dados pessoais de acessos não autorizados e
    de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
    qualquer forma de tratamento inadequado ou ilícito.
    § 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para
    tornar aplicável o disposto no caput deste artigo, considerados a natureza das
    informações tratadas, as características específicas do tratamento e o estado atual
    da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os
    princípios previstos no caput do art. 6º desta Lei.
    § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a
    fase de concepção do produto ou do serviço até a sua execução.
    Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em
    uma das fases do tratamento obriga-se a garantir a segurança da informação
    prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
    Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a
    ocorrência de incidente de segurança que possa acarretar risco ou dano relevante
    aos titulares.
    Página 60 de 74
    § 1º A comunicação será feita em prazo razoável, conforme definido pela
    autoridade nacional, e deverá mencionar, no mínimo:
    I – a descrição da natureza dos dados pessoais afetados;
    II – as informações sobre os titulares envolvidos;
    III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos
    dados, observados os segredos comercial e industrial;
    IV – os riscos relacionados ao incidente;
    V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
    VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos
    do prejuízo.
    § 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso
    necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador
    a adoção de providências, tais como:
    I – ampla divulgação do fato em meios de comunicação; e
    II – medidas para reverter ou mitigar os efeitos do incidente.
    § 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de
    que foram adotadas medidas técnicas adequadas que tornem os dados pessoais
    afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para
    terceiros não autorizados a acessá-los.
    Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser
    estruturados de forma a atender aos requisitos de segurança, aos padrões de boas
    práticas e de governança e aos princípios gerais previstos nesta Lei e às demais
    normas regulamentares.
    De acordo com a Norma ABNT NBR ISO/IEC 2700145, a segurança da informação pode ser
    definida como o conjunto de ações que visam à preservação da confidencialidade, integridade e
    disponibilidade da informação.
    Esse conjunto de ações impacta todo o ambiente institucional das empresas com o objetivo
    de prevenir, detectar e combater as ameaças digitais, ou seja, estão relacionadas às camadas de
    tecnologia, processos e pessoas e não somente ao ambiente de tecnologia da informação.
    Um importante ponto é o gerenciamento de riscos, que consiste no processo de identificar,
    quantificar e gerenciar os riscos relacionados à segurança da informação dentro da organização. Ele
    visa a obter um equilíbrio eficiente entre a concretização de oportunidades de ganhos e a
    minimização de vulnerabilidades e perdas.
    Nesse sentido, existem diversos padrões recomendáveis, como por exemplo guias e
    frameworks, para operacionalizar a implementação de mecanismos relacionados à segurança da
    45 Norma ABNT NBR ISO/IEC 27001 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de
    segurança da informação — Requisitos. 2006.
    Página 61 de 74
    informação. Cabe destacar que muitos mecanismos estão disponíveis gratuitamente, enquanto
    outros são utilizados como base para a certificação de conhecimentos profissionais.
    Quanto às boas práticas e governança de dados, os arts. 50 e 51 da LGPD buscam estimular
    a sua adoção pelos controladores e operadores, nos seguintes termos:
    Seção II
    Das Boas Práticas e da Governança
    Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo
    tratamento de dados pessoais, individualmente ou por meio de associações,
    poderão formular regras de boas práticas e de governança que estabeleçam as
    condições de organização, o regime de funcionamento, os procedimentos, incluindo
    reclamações e petições de titulares, as normas de segurança, os padrões técnicos,
    as obrigações específicas para os diversos envolvidos no tratamento, as ações
    educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros
    aspectos relacionados ao tratamento de dados pessoais.
    § 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em
    consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a
    finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes
    de tratamento de dados do titular.
    § 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º
    desta Lei, o controlador, observados a estrutura, a escala e o volume de suas
    operações, bem como a sensibilidade dos dados tratados e a probabilidade e a
    gravidade dos danos para os titulares dos dados, poderá:
    I – implementar programa de governança em privacidade que, no mínimo:
    a) demonstre o comprometimento do controlador em adotar processos e políticas
    internas que assegurem o cumprimento, de forma abrangente, de normas e boas
    práticas relativas à proteção de dados pessoais;
    b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle,
    independentemente do modo como se realizou sua coleta;
    c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à
    sensibilidade dos dados tratados;
    d) estabeleça políticas e salvaguardas adequadas com base em processo de
    avaliação sistemática de impactos e riscos à privacidade;
    e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de
    atuação transparente e que assegure mecanismos de participação do titular;
    f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique
    mecanismos de supervisão internos e externos;
    g) conte com planos de resposta a incidentes e remediação; e
    h) seja atualizado constantemente com base em informações obtidas a partir de
    monitoramento contínuo e avaliações periódicas;
    II – demonstrar a efetividade de seu programa de governança em privacidade
    quando apropriado e, em especial, a pedido da autoridade nacional ou de outra
    entidade responsável por promover o cumprimento de boas práticas ou códigos de
    conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
    Página 62 de 74
    § 3º As regras de boas práticas e de governança deverão ser publicadas e
    atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela
    autoridade nacional.
    Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que
    facilitem o controle pelos titulares dos seus dados pessoais.
    Segundo o Data Governance Institute, fórum internacional que publica frameworks, boas
    práticas e guias sobre o assunto, a governança de dados consiste em um procedimento de tomada
    de decisões e responsabilidades para com os processos relacionados aos dados.
    46
    A governança de dados é importante mecanismo de controle e gerenciamento de dados,
    como por exemplo, qualidade de dados, arquitetura de dados, ciclo de vida de dados, dentre outros
    aspectos.
    Nesse sentido, o conceito de governança de dados trazido pela LGPD é um tema bastante
    complexo e envolve atividades em diversas camadas, como aquelas relacionadas à cultura
    institucional, aos processos e à tecnologia da informação, não sendo, portanto, aplicável à maioria
    das microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais.
    Para corroborar com essa evidência, cabe mencionar que um artigo da Harvard Business
    Review47 de 2017 apontou que apenas 3% das empresas entrevistadas atingiram níveis de qualidade
    satisfatórios na governança que realizavam sobre seus dados.
    Ainda, cabe salientar que, conforme o disposto no art. 50 da LGPD, não existe uma obrigação
    de implementação de regras de boas práticas e governança de dados para os controladores e os
    operadores. Entretanto, o §1º do art. 50 dispõe que, ao estabelecer as regras de boas práticas, o
    controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a
    natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios
    decorrentes de tratamento de dados do titular.
    Dessa forma, a lei estabeleceu possibilidade de uso de boas práticas internacionais, como
    por exemplo, a adoção de frameworks, para operacionalizar a governança de dados.
    46 Data Governance Institute. Disponível em: https://datagovernance.com/the-data-governance-basics/definitions-ofdata-governance/. Acesso em 03/08/2021.
    47 Only 3% of Companies’ Data Meets Basic Quality Standards. Disponível em: https://hbr.org/2017/09/only-3-ofcompanies-data-meets-basic-quality-standards. Acesso em: 03/08/2021.
    Página 63 de 74
    3.3.1.2 Quais os problemas a serem solucionados?
    Diversas contribuições recebidas durante a Tomada de Subsídios nº 1/2021 apontaram para
    a dificuldade de conformidade das microempresas, empresas de pequeno porte, startups e pessoas
    físicas que tratam dados pessoais com relação às obrigações ligadas à segurança e à governança de
    dados estabelecidas pela LGDP.
    Conforme apresentado, a complexidade e o estado da arte relacionado ao tema segurança
    e governança de dados podem aumentar a não conformidade com a lei por microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais devido à falta de
    recursos financeiros e humanos, fato que pode expor os titulares a elevado risco de violação de seus
    dados pessoais.
    Ademais, conforme já exposto, é importante considerar a baixa maturidade das
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    com relação à proteção de dados e, para alterar esse cenário, faz-se importante buscar mecanismos
    regulatórios e institucionais para incentivar o amadurecimento do tema nesse grupo de agentes de
    tratamento.
    Esse cenário deve ser considerado pela ANPD para a proposição do modelo regulatório capaz
    de induzir as microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam
    dados pessoais a proporcionar um ambiente mais seguro com relação aos dados dos titulares.
    Assim, o principal problema a ser solucionado é o risco de violação dos dados pessoais no
    tratamento de dados por microempresas, empresas de pequeno porte, startups e pessoas físicas
    que tratam dados pessoais em razão da eventual não adoção de melhores práticas relacionadas à
    segurança da informação.
    Outro problema identificado consiste nos custos de implantação de medidas de segurança
    da informação e boas prática, que, por serem altos, podem gerar dificuldade financeira às
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais,
    conforme já apontado neste relatório.
    3.3.1.3 A Autoridade tem competência para atuar sobre os problemas?
    Nos termos do que dispõe o art. 55-J, XVIII da LGPD, a ANPD tem competência para editar
    normas específicas, com procedimentos simplificados e diferenciados, bem como critérios de
    Página 64 de 74
    elegibilidade, para que microempresas e empresas de pequeno porte, assim como iniciativas
    empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de
    inovação, possam adequar-se à LGPD.
    3.3.1.4 Existe experiência internacional?
    Sobre as experiências internacionais, destaca-se que autoridades de proteção de dados em
    todo o mundo atuam com abordagem orientativa e educativa, emitindo orientações e fornecendo
    ferramentas em apoio às pequenas e médias empresas para que busquem estar em conformidade
    com leis de privacidade e proteção de dados pessoais no que tange à segurança e boas práticas.
    A título exemplificativo, a Agência Europeia para a Segurança das Redes e da Informação
    (ENISA) publicou um guia para as pequenas e médias empresas sobre a segurança da informação.
    48
    Outro ponto que deve ser destacado são as recomendações internacionais para apoiar a
    operacionalização da segurança da informação e a governança de dados nas organizações
    empresariais, que podem vir a subsidiar a elaboração de normas e guias sobre boas práticas a
    respeito do tema pela ANPD. Dentre essas recomendações, podem-se destacar:
    (i) Information Technology Infrasructure Library – (ITIL): conjunto de regras que define as
    boas práticas de gestão de serviços de TI;
    (ii) Control Objectives for Information and Related Technologies (COBIT)
    49 – framework
    evolutivo de boas práticas de segurança, gestão e governança de TIC criado pela
    Information Systems Audit and Control Association (ISACA);
    (iii) Data Management Body of Knowledge50 (DAMA-DMBOK) – framework para a gestão
    e governança de dados;
    (iv) Norma ABNT NBR ISO/IEC 20000 – trata da gestão da qualidade de serviços de
    tecnologia da informação e comunicação;
    48 ENISA. Guidelines for SMEs on the security of personal data processing, 2016. Disponível em
    https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing. Acesso
    em 05/08/2021
    49 COBIT (Control Objectives for Information and Related Technologies). Disponível em:
    https://www.isaca.org/resources/cobit. Acesso em 04/08/2021.
    50 DMBOK (DAMA-DMBOK) Data Management of Knowledge. Disponível em: https://www.dama.org/cpages/body-ofknowledge. Acesso em 04/08/2021.
    Página 65 de 74
    (v) Norma ABNT NBR ISO/IEC série 31000 – trata da avaliação e gestão de riscos;
    (vi) Norma ABNT NBR ISO/IEC série 27000 – trata da segurança da informação;
    (vii) Secure Controls Framework51 (SCF) – catálogo de controles que trata de privacidade
    e segurança.
    Essas recomendações internacionais são adotadas por grandes organizações empresariais
    no Brasil com vistas a operacionalizar as boas práticas com relação à segurança da informação e à
    governança de dados. No entanto, cabe lembrar que essas recomendações são elaboradas
    considerando o estado da arte sobre a gestão de tecnologia da informação e a governança de dados,
    e demandam maturidade institucional em relação ao tema.
    3.3.1.5 Quais os objetivos da ação? Por que a intervenção regulatória é necessária?
    O objetivo imediato da intervenção, conforme mencionado ao longo do presente relatório
    de AIR, é atender ao comando do art. 55-J, XVIII da LGPD e editar norma específica para simplificar
    e diferenciar os procedimentos para que microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais possam se adequar à referida lei.
    Por sua vez, o objetivo mediato consiste em facilitar a adaptação desse grupo à LGPD,
    promovendo a sua conformidade e contribuindo para a disseminação da cultura de proteção de
    dados pessoais.
    Especificamente no que se refere à segurança da informação, pretende-se conscientizar as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    da sua importância e dos riscos e danos a que se expõem ao não adotarem as medidas necessárias.
    Além disso, ao conscientizar esse grupo de agentes de tratamento, espera-se aumentar a segurança
    do tratamento dos dados pessoais, beneficiando, assim, os titulares de dados pessoais.
    3.3.1.6 Quais os grupos afetados?
    A norma de aplicação da LGPD para microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais impacta todos os titulares de dados que se relacionam
    com esses agentes de tratamento. Diante disso, ao proceder o levantamento dos agentes
    51 SCF – Secure Controls Framework. Disponível em: https://www.securecontrolsframework.com/. Acesso em:
    04/08/2021.
    Página 66 de 74
    econômicos, dos usuários dos serviços prestados e dos demais afetados pelo problema ora
    analisado, os grupos a seguir foram identificados como mais impactados:
    i) agentes de tratamento de dados, em especial aqueles em que se enquadram as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais;
    ii) titulares de dados pessoais;
    iii) fabricantes de softwares de gestão e governança de dados;
    iv) prestadores de serviço de consultoria;
    v) encarregados.
    Outros grupos identificados, como órgãos de pesquisa, órgãos públicos, agências
    reguladoras e imprensa poderão ser afetados, mas com impactos reduzidos ou na medida em que
    se relacionarem com microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais.
    3.3.2. ANÁLISE DAS ALTERNATIVAS
    3.3.2.1 Quais são as opções regulatórias consideradas para o tema?
    Em relação ao tema segurança da informação e sua aplicação às microempresas, empresas
    de pequeno porte, startups e pessoas físicas que tratam dados pessoais, foram identificadas duas
    opções para endereçamento do tema.
    A primeira opção consistiria em incluir na norma a ser editada uma lista de ações e
    obrigações mínimas que esse grupo de agentes de tratamento deverá seguir para conferir segurança
    ao seu tratamento de dados pessoais. Se por um lado a inclusão em norma promoveria maior
    segurança jurídica e, em razão da natureza da norma, poderia garantir aos titulares de dados uma
    confiança maior em relação ao tratamento de dados pessoais, a definição de normas dessa natureza
    para microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais sem o estabelecimento de normas gerais para todos os agentes de tratamento significaria,
    na prática, um ônus a esse grupo específico de agentes de tratamento.
    Além disso, essa opção implicaria aumentar os custos de adaptação das microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais à LGPD; tendo
    Página 67 de 74
    em vista que as empresas não costumam investir em mecanismos relacionados à segurança da
    informação, essa adaptação muito provavelmente seria totalmente nova para essas empresas.
    Outra opção consistiria em uma intervenção não regulatória, que perpassaria pela atividade
    orientadora da ANPD, assunto levantado como uma atuação esperada pelas empresas em diversas
    contribuições recebidas no âmbito da Tomada de Subsídios nº 01/2021. No caso, seria possível a
    edição de um guia orientativo, com as sugestões de ações que podem ser tomadas pelas
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    e com orientações sobre o porquê elas são importantes e quais são os benefícios de sua adoção.
    Essa ação disseminaria o conhecimento sobre o assunto de forma mais completa e com uma
    linguagem mais simples do que uma norma, e, ao mesmo tempo, não criaria obrigações para as
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais.
    Além disso, ao trabalhar no âmbito da orientação e conscientização, a ação tenderia a proteger
    também os direitos dos titulares de dados.
    Além disso, salienta-se que independentemente da adoção de uma das alternativas
    regulatórias propostas, entende-se cabível que as microempresas, empresas de pequeno porte,
    startups e pessoas físicas que tratam dados pessoais possam estabelecer uma política de segurança
    da informação (PSI) simplificada.
    A PSI consiste em um conjunto de diretrizes e regras que tem por objetivo possibilitar o
    planejamento, a implementação e o controle de ações relacionadas à segurança da informação em
    uma organização.
    Deve-se reconhecer que a elaboração da PSI não é uma obrigação expressamente disposta
    na LGPD, mas vale ressaltar que a PSI, tendo como base as recomendações internacionais, faz parte
    das medidas administrativas citadas no art. 46 da LGPD.
    Essa política pode ser elaborada por organizações de qualquer porte e compreende uma boa
    prática para a gestão da segurança da informação. Entretanto, a PSI tende a ser mais aplicável às
    organizações de médio e grande porte, que necessitam direcionar a atuação institucional
    relacionada à segurança de forma mais abrangente. Entende-se, assim, que cabe a cada instituição
    avaliar os impactos e os recursos necessários para sua implementação, para então decidirem sobre
    Página 68 de 74
    a sua formalização, sendo que esta Autoridade estimula a elaboração de uma política institucional
    que forneça as diretrizes para a gestão da segurança da informação.
    Diante disso, infere-se ser adequado incluir na minuta da resolução uma possível política
    simplificada de segurança da informação, levando em consideração o nível de risco do tratamento
    de dados para os direitos e liberdades do titular, bem como os custos relacionados à sua aplicação,
    à realidade financeira dos agentes e à disponibilidade de recursos, inclusive os financeiros e de
    pessoal especializado na organização.
    3.3.2.2 Alternativa A – Adoção de modelo regulatório com disposição das obrigações relacionadas
    à segurança da informação em resolução
    A alternativa A baseia-se na abordagem regulatória de publicação de um normativo com a
    definição de requisitos mínimos para garantir a segurança da informação no tratamento de dados
    por microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados
    pessoais.
    Conforme já citado, esse modelo, em tese, pode garantir maior segurança no tratamento de
    dados pessoais, mas demandaria vultuosos investimento de recursos financeiros e humanos para
    atender a conformidade, podendo impactar sobremaneira a operação desses agentes. Além disso,
    a edição de norma não atingiria o propósito de orientar esse grupo de agentes sobre a matéria.
    Resumo da análise da alternativa A
    Grupos afetados Desafios Benefícios
    ANPD Necessidade de monitoramento
    específico de obrigações para
    agentes que ainda não foram
    definidos como microempresas,
    empresas de pequeno porte,
    startups e pessoas físicas que tratam
    dados pessoais.
    Sem possibilidade de atuação
    orientadora.
    Sem possibilidade de
    aprofundamento do tema no texto
    normativo.
    Não foram identificados benefícios
    relevantes.
    Microempresas, empresas de
    pequeno porte, startups e pessoas
    físicas que tratam dados pessoais
    Dificuldade de se ajustar às
    obrigações.
    Criação de disparidade de obrigações
    em razão da inexistência de
    obrigações nesse sentido para os
    demais agentes de tratamento.
    Maior segurança jurídica quanto ao
    que se espera.
    Página 69 de 74
    Titulares de dados pessoais Não foram identificados desafios
    relevantes.
    Sensação inicial de maior confiança
    em relação ao tratamento e
    segurança da informação desse
    grupo de agentes de tratamento.
    Fabricantes de softwares de gestão e
    governança de dados
    Necessidade de adaptação ao novo
    modelo.
    Previsibilidade das ações da ANPD.
    Prestadores de serviço de
    consultoria
    Necessidade de adaptação ao novo
    modelo.
    Previsibilidade das ações da ANPD.
    Encarregados Necessidade de adaptação ao novo
    modelo regulatório.
    Previsibilidade das ações da ANPD.
    3.3.2.3 Alternativa B – Adoção de modelo regulatório baseado em guia de orientação de boas
    práticas relacionado à segurança da informação
    A alternativa B fundamenta-se na abordagem orientativa e educativa com a publicação,
    principalmente, de guias de boas práticas. Essa proposta está em linha com o art. 55-J, XVIII, que
    concedeu à ANPD a competência para editar orientações para que microempresas, empresas de
    pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se
    autodeclarem startups ou empresas de inovação possam adequar-se à LGPD.
    Como já citado, essa alternativa disseminaria o conhecimento sobre o assunto de forma mais
    completa e com uma linguagem mais acessível do que a de uma norma, e, ao mesmo tempo, não
    criaria obrigações específicas para esse grupo de agentes sem a definição de normas gerais para os
    demais. Além disso, essa opção, em tese, protege também os direitos dos titulares de dados, que
    tenderiam a ter confiança no que se refere à segurança no tratamento dos seus dados.
    Resumo da análise da alternativa B
    Grupos afetados Desafios Benefícios
    ANPD Atualização periódica do guia
    orientativo a partir das sugestões
    e dúvidas enviadas.
    Diminuição das atividades a
    serem realizadas no âmbito da
    fiscalização, tendo em vista se
    tratar de uma atividade
    orientadora.
    Possibilidade de aprofundar e
    educar esse grupo de agentes de
    tratamento sobre o assunto.
    Microempresas, empresas de
    pequeno porte, startups e
    pessoas físicas que tratam dados
    pessoais
    Necessidade de estudo e de
    adaptação gradual ao que o guia
    estabelecer como boas práticas.
    Menor custo regulatório de
    adaptação.
    Possibilidade de adequação
    efetiva e gradual ao que se espera
    como boas-práticas de segurança
    da informação.
    Página 70 de 74
    Titulares de dados pessoais Sensação inicial de inexistência
    de proteção ou obrigações
    referentes à segurança da
    informação.
    Ao médio e longo prazo, maior
    segurança no tratamento dos
    dados pessoais.
    Fabricantes de softwares de
    gestão e governança de dados
    Necessidade de estudo do que a
    ANPD considera como essencial
    para empresas.
    Possibilidade de adaptação
    gradual ao que a ANPD espera.
    Prestadores de serviço de
    consultoria
    Necessidade de estudo do que a
    ANPD considera como essencial
    para empresas.
    Possibilidade de adaptação
    gradual ao que a ANPD espera.
    Encarregados Necessidade de adaptação ao
    novo modelo.
    Possibilidade de adaptação
    gradual ao que a ANPD espera.
    3.3.3 CONCLUSÃO E ALTERNATIVA SUGERIDA
    3.3.3.1 Qual a conclusão da análise realizada?
    Considerando as alternativas apresentadas como solução para os problemas relacionados à
    segurança da informação, identificou-se que, em razão dos desafios e benefícios elencados para
    cada um dos grupos afetados, que a Alternativa B é a mais adequada para endereçar o tema.
    Essa conclusão decorre da possibilidade de atuação no âmbito da atividade de orientação da
    ANPD que o guia orientativo possibilita, tendo em vista que é possível tratar o tema da segurança
    da informação de forma mais expressiva, ou seja, com maior profundidade, e educativa em um
    instrumento dessa natureza.
    3.3.3.2 Como será operacionalizada a alternativa sugerida?
    Com relação ao tema de segurança da informação e boas práticas, entende-se que criar
    instrumentos capazes de potencializar a sua operacionalização pelas microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais, como por exemplo, guias de
    boas práticas e procedimentos simplificados, é o mais adequado.
    Para isso, será necessário que a ANPD realize um levantamento dos padrões e guias que
    possam apoiar a operacionalização da segurança da informação nas organizações empresariais e
    possam subsidiar a elaboração de boas práticas pela ANPD, podendo-se destacar ao menos as
    normas da International Organization for Standardization (ISO), organização internacional que
    desenvolve e publica normas técnicas que são utilizadas por muitos países, incluindo o Brasil. No
    Página 71 de 74
    caso, cabe dar destaque para a Norma ABNT NBR ISO/IEC 2700152, que dispõe sobre sistema de
    gestão de segurança da informação e técnicas de segurança.
    Em síntese, a Norma ABNT NBR ISO/IEC 27001 tem como princípio geral a adoção de um
    conjunto de requisitos, processos e controles que visam a gerir adequadamente os riscos de
    segurança da informação presentes nas organizações. Além disso, essa norma foi preparada para
    prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter
    e melhorar um Sistema de Gestão de Segurança da Informação dentro do contexto dos riscos de
    negócio globais de uma organização.
    Após o estudo do material disponível, será necessário que a ANPD elabore um guia
    orientativo sobre a matéria e o disponibilize com a brevidade que o tema requer. Por se tratar de
    um guia orientativo, é importante que o material deixe claro que as ações ali elencadas são
    sugestões para esse grupo de agentes de tratamento.
    3.3.3.3 Como a alternativa sugerida será monitorada?
    Um guia orientativo de boas práticas não é de observância obrigatória, mas tão somente
    busca orientar e apoiar a adequação das microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais em relação à LGPD. Ainda assim, será possível
    acompanhar se as orientações e indicações da ANPD sobre a segurança da informação estão sendo
    seguidas por meio do acompanhamento das atividades de fiscalização da Coordenação-Geral de
    Fiscalização, bem como por meio de elaboração dos relatórios anuais de gestão da ANPD. No caso,
    será possível aferir se as reclamações sobre esses agentes de tratamento advêm da não atenção de
    boas práticas sobre segurança.
    Nesse sentido, sugere-se acompanhar a quantidade de reclamações de titulares de dados
    em face a esses agentes e a quantidade de processos sancionatórios instaurados contra eles. Uma
    vez que não existem dados históricos sobre essas informações, a coleta e o acompanhamento
    desses dados poderão servir de base para eventuais revisões da alternativa escolhida.
    Outra forma de monitorar a efetividade das orientações sobre segurança e boas práticas
    consiste no acompanhamento da quantidade de notificações de incidentes de segurança por
    52 Norma ABNT NBR ISO/IEC 27001 – Norma internacional para Sistema de Gestão de Segurança da Informação (SGSI) –
    Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos.
    Página 72 de 74
    microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais
    recebidas pela ANPD.
  6. CONCLUSÃO
    O presente relatório de AIR apresenta os pontos que foram estudados pela ANPD para
    elaboração da minuta de resolução sobre a aplicação da LGPD para microempresas, empresas de
    pequeno porte, startups e pessoas físicas que tratam dados pessoais, tendo sido feita uma divisão
    em 3 (três) grandes temas: (i) a definição do grupo de agentes aos quais a norma a ser editada se
    destinará; (ii) conformidade em relação às obrigações da LGPD; e (iii) segurança da informação.
    Com relação ao tema 1, optou-se pela alternativa B por entender que a melhor opção para
    se definir os destinatários da norma a ser editada consiste em considerar os critérios adequados
    que permitam a simplificação e flexibilização de determinada obrigação sem aumentar
    consideravelmente os riscos envolvidos, tanto para os titulares de dados quanto para esse grupo de
    agentes de tratamento.
    Assim, concluiu-se que a melhor forma de atingir esse critério é por meio da criação de um
    conceito base que inclua as microempresas, empresas de pequeno porte e startups, com os demais
    critérios identificados ao longo do processo de coleta de informações.
    Nesse sentido, revelam-se como apropriados adotar como conceitos-base os trazidos pela
    Lei Complementar nº 123/2006 para as microempresas, empresas de pequeno porte e startups.
    Além disso, para as startups, cabe também adotar os parâmetros trazidos pela Lei Complementar
    nº 182/2021, conforme o seu art. 4º, inclusive para fins de faturamento máximo para todos os
    agentes de tratamento os quais a resolução se destina.
    Esses conceitos serão considerados em conjunto com outros critérios especificados ao longo
    do regulamento, tendo em vista que entidades que não se enquadram nos conceitos mencionados
    mas que, ao se pensar na lógica do que se pretende com essa norma de aplicação da LGPD, podem
    ser equiparadas às microempresas, empresas de pequeno porte, startups e pessoas físicas que
    tratam dados pessoais, quais sejam, as pessoas jurídicas sem fins lucrativos, como associações,
    fundações, organizações religiosas e partidos políticos.
    Página 73 de 74
    Entende-se que esse grupo de agentes de tratamento deve ter uma denominação específica
    a ser apresentada na norma a ser editada, sugerindo-se, aqui, a adoção do termo agentes de
    tratamento de pequeno porte.
    Concluiu-se, ainda, pela adoção de uma classificação do tratamento realizado em razão do
    risco que ele implica aos titulares de dados, tendo em vista ser mais efetivo na proteção dos direitos
    dos titulares de dados, ao mesmo tempo que gera menos insegurança para fins do trabalho de
    fiscalização da ANPD.
    Por sua vez, em relação ao tema 2 concluiu-se que a opção mais adequada é a alternativa A,
    que consiste na edição de um normativo único para apresentar o tratamento diferenciado das
    obrigações disposta na LGPD para que as microempresas, empresas de pequeno porte, startups e
    pessoas físicas que tratam dados pessoais possam se adequar à lei.
    Na análise foi considerada a divisão das obrigações dispostas na LGPD da seguinte forma: i)
    obrigações relacionadas aos direitos do titular; ii) registro das atividades de tratamento, iii) relatório
    de impacto à proteção de dados pessoais; iv) comunicação de incidentes de segurança; v)
    encarregado; e vi) prazos diferenciados.
    Cabe esclarecer que se concluiu pela norma única que contenha a definição do conceito do
    grupo de agentes de tratamento aos quais a norma se aplicará e os critérios para sua incidência,
    bem como a definição do regime diferenciado em relação a algumas obrigações identificadas como
    passíveis de flexibilização no presente momento para as microempresas, empresas de pequeno
    porte, startups e pessoas físicas que tratam dados pessoais, sem que isso prejudique os direitos dos
    titulares de dados.
    Ao mesmo tempo, tendo em vista ser necessário reconhecer que as flexibilizações
    relacionadas às obrigações mais complexas precisam de análise mais profunda, sugeriu-se também
    que elas deverão ocorrer, portanto, no âmbito dos projetos de elaboração das resoluções
    específicas.
    Já em relação ao tema 3, concluiu-se que a sugestão mais adequada baseia-se na alternativa
    B, com a edição de um guia orientativo sobre segurança da informação voltado às microempresas,
    empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais, tendo em vista
    que esse instrumento disseminará o conhecimento sobre o assunto de forma mais completa e com
    Página 74 de 74
    uma linguagem mais acessível do que a de uma norma, e, ao mesmo tempo, não criaria obrigações
    específicas para esse grupo de agentes de tratamento sem a definição de normas gerais para os
    demais.
    Além disso, essa opção protege também os direitos dos titulares de dados, que tenderiam a
    ter confiança no que se refere à segurança no tratamento dos seus dados.

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.