ti de alto risco . Bioni esclarece que o órgão adotou um critério duplo , combinando a exigência relativa ao porte da empresa às suas práticas . “ De nada adianta ser uma startup se tem tratamento de alto risco , se trata grande base de dados sensíveis como , por exemplo , na área da saúde ”, considera . “ Apesar de ser um agente econômico de pequeno porte , essa empresa não seria elegível para o tratamento diferenciado e mais flexibilizado porque a sua atividade demanda maior nível de compliance ”.
Freitas chama atenção para dois conceitos trazidos na resolução : “ tratamento em larga escala ” e “ tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares ”. O advogado aponta que “ na forma prevista no regulamento , o enquadramento de determinada atividade de tratamento de dados pessoais em qualquer desses critérios comporta uma margem interpretativa ampla , que acaba gerando incertezas ”.
Neste momento , a prioridade das MPEs deve ser construir uma cultura organizacional voltada para a proteção de dados . Nesse sentido , Bioni esclarece que o principal gargalo é o elemento humano , sendo fundamental investir no treinamen to do pessoal . Freitas reitera a importân cia de disseminar “ a noção de que o dado pessoal pertence ao titular , de modo que o seu uso , o seu mero armazenamento e qualquer outra forma de tratamento só podem ocorrer sob as hipóteses autorizadas por lei ”. Para tanto , a empresa deve compreender quais dados pessoais trata e se ajustar , eliminando de seus processos informações e operações desnecessárias . 15