A Autoridade Nacional de Proteção de Dados (ANPD) havia aberto prazo até 1º de março de 2021 para recebimento de contribuições do setor. A Abranet pontuou que o desafio regulatório central para a ANPD diz respeito a compatibilizar a garantia do exercício do direito à proteção de dados em sua plenitude, sem incorrer em custos regulatórios excessivos e que inviabilizam a atividade desta parcela tão significativa da economia brasileira.

Como exemplo de alto custo para as empresas de menor porte, a Abranet apontou a necessidade que a regulamentação traz de contratar e manter um encarregado de dados (DPO) nas PMEs. "Nesse contexto, a regulamentação deveria considerar que quaisquer exigências regulatórias significam um custo econômico-financeiro e de oportunidade desproporcionais quando se trata de agentes de tratamento de pequeno porte, de modo que, pelo fato de disporem de recursos inferiores quando comparados às grandes empresas, os agentes econômicos de pequeno porte podem enfrentar grandes dificuldades para se adequar à LGPD; podemos citar a obrigação que a manutenção de um encarregado nas pequenas e médias empresas pode implicar em um custo mensal excessivo", diz o texto encaminhado pela Abranet.

A Abranet afirmou entender que cabe à ANPD estabelecer um tratamento diferenciado, quando relacionados a essas empresas de médio e pequeno porte, especialmente em tópicos como a aplicação de sanções, a modulação das obrigações impostas pela LGPD, o estabelecimento de parâmetros regulatórios complementares à Lei e a definição de prazos para o cumprimento dessas obrigações.

Entre as sugestões indicadas, a associação sugere que a ANPD e preveja procedimento específico a ser seguido no caso em que o infrator seja agente de tratamento de pequeno porte, na mesma linha que a lei estabelece penalidades proporcionais à condição econômica do infrator, privilegiando a prevenção de incidentes e a construção de uma cultura de proteção de dados no País. A sugestão da Abranet é que a responsabilização das primeiras três infrações seja limitada a advertências combinadas com orientações para adoção de medidas corretivas e ações de prevenção de novos incidentes no futuro.

A Abranet também pede que, como diretriz geral, adote-se prazo em dobro — quando comparado com o prazo estabelecido para as demais empresas — para que agentes de tratamento de pequeno porte cumpram as obrigações legais e regulatórias a que estão sujeitos. Outro ponto levantado pela entidade é o da dispensa das médias e pequenas empresas da obrigatoriedade de nomear um encarregado de dados.

Como justificativa, a Abranet afirmou que, com a simplificação de determinadas regras para as PMEs, seria possível fomentar a inovação e, por consequência, a geração de empregos a partir do uso de dados em conformidade com a LGPD. A Abranet apontou que a manutenção do registro das operações de tratamento de dados pessoais é obrigação custosa e, como exemplo, apontou que a legislação europeia, a GDPR, prevê que seja dispensada para agentes de tratamento de pequeno porte.

O Brasil poderia seguir caminho semelhante, disse a associação, sugerindo a dispensa do registro para microempreendedores individuais e microempresas, para empresas de pequeno porte e startups, salvo quando a atividade econômica principal da empresa tenha como elemento fundamental o tratamento de dados ou quando a empresa ultrapassar um volume anual de operações de tratamento de dados pessoais definido pela ANPD. Para este último caso, a Abranet propôs a simplificação da obrigação, exigindo apenas o registro do tratamento principal da empresa e o estabelecimento do conteúdo mínimo a ser incluído no registro, mantendo flexibilidade quanto ao formato no qual o registro deve ser realizado.