ANPD aprova o regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte
Diante das dificuldades que vinham sendo suscitadas por empresas de pequeno porte para sua adequação à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – “LGPD”), e após estudos realizados pela Autoridade Nacional de Proteção de Dados (“ANPD”), incluindo Consulta Pública e Audiência Pública por esta disponibilizadas sobre o assunto, neste dia 28 de janeiro, em que se comemora o Dia Internacional da Proteção de Dados, foi publicada no Diário Oficial da União, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, aprovando o Regulamento que objetiva maior flexibilidade às empresas de pequeno porte quanto à aplicação da LGPD.
O Regulamento se aplica a microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da lei, bem como pessoas naturais e entes privados despersonalizados que assumam obrigações típicas de controlador ou de operador, exceto para aqueles que: (i) realizem tratamento de alto risco para os titulares, assim considerado: (a) o tratamento de dados pessoais em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares, e, concomitantemente, que (b) utilize tecnologias emergentes ou inovadoras, ou, realize vigilância ou controle de zonas acessíveis ao público, ou tome decisões unicamente com base em tratamento automatizado de dados pessoais, ou utilize dados pessoais sensíveis ou de crianças, de adolescentes e de idosos; (ii) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123/2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182/2021, ou (iii) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites ora referidos.
Dentre os benefícios previstos no Regulamento, podemos destacar a possibilidade de simplificação da forma com que se deve elaborar o registro exigido com relação às operações de tratamento de dados pessoais, conforme modelo para registro simplificado ainda por ser disponibilizado pela ANPD, bem como de simplificação do procedimento de comunicação de incidentes de segurança, também de acordo com regulamentação específica.
Ademais, ficam os beneficiários do Regulamento dispensados de indicar um encarregado pelo tratamento de dados pessoais, desde que se disponibilize ao público um canal de comunicação para reclamações e comunicações dos titulares, esclarecimentos e outras providências, bem como lhes é garantido o dobro dos prazos que são estabelecidos para (i) o atendimento das solicitações dos titulares, (ii) a comunicação de incidente de segurança que possa acarretar risco ou dano, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, (iii) o fornecimento, em resposta aos direitos de confirmação de existência de tratamento e de acesso, da declaração clara e completa indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, e (iv) a apresentação de outras informações, documentos, relatórios e registros solicitados pela ANPD.
No que se refere ao fornecimento, em resposta aos direitos de confirmação de existência de tratamento e de acesso, da declaração simplificada, que deve ser imediato aos demais agentes de tratamento, para os agentes de pequeno porte o prazo será de quinze dias.
Importante atentar ao fato de que algumas providências, quando adotadas pelos agentes de tratamento de pequeno porte, podem lhes ser favoráveis para a gradação de eventual penalidade que lhe seja aplicável no contexto de uma possível infração à lei. Neste sentido, a indicação de um encarregado pelo tratamento de dados pessoais, mesmo diante da dispensa prevista no Regulamento, será considerada como uma medida, pelo agente de pequeno porte, de política de boas práticas e governança.
Igualmente, a implementação de uma política simplificada de segurança da informação também será tida como política de boas práticas e governança e, ainda, servirá a demonstrar a adoção de mecanismos e procedimentos internos para minimizar dano e potencializar o tratamento seguro e adequado de dados.
Por fim, e na mesma linha, a adoção de medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de riscos existentes, bem como o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, também serão considerados na gradação de eventual penalidade.
Clique aqui para acessar a íntegra do Regulamento.