ANPD Regulamenta a Aplicação da LGPD para Agentes de Pequeno Porte

A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, trouxe maior segurança jurídica ao desenvolvimento de atividades econômicas, assegurando direitos aos cidadãos, mas impondo também penalidades em caso de descumprimento. 

Visando viabilizar as atividades de pequenos e médios negócios, bem como fomentar inovações em conformidade com a LGPD, a Autoridade Nacional de Proteção de Dados (ANPD), por meio de seu Conselho Diretor (CD), aprovou a Resolução n. 2, de 27 de janeiro de 2022, que regulamenta a sua aplicação aos agentes de tratamento de pequeno porte.

Os agentes de tratamento de pequeno porte são as microempresas, empresas de pequeno porte, startups, microempreendedores individuais, pessoas físicas e entes privados despersonalizados que realizam tratamento de dados pessoais. 

É importante saber que toda e qualquer atividade realizada com dados pessoais é considerada “tratamento de dados pessoais”. Portanto, aqueles que coletam, analisam, armazenam, compartilham ou até mesmo realizam apenas o descarte de dados pessoais estão incluídos na categoria de agentes de tratamento.

Os agentes de tratamento poderão ser configurados como controlador ou o operador. Em síntese, o primeiro, controlador, é aquele que decide o que será feito com os dados pessoais, definindo as finalidades do tratamento, bases legais que autorizam tais atividades e são também diretamente responsáveis pelo atendimento dos direitos dos titulares de dados pessoais, tais como consumidores e empregados. 

Já o segundo, operador, é aquele que realiza as atividades de tratamento de dados observando com exatidão as finalidades, diretrizes e orientações definidas pelo controlador. Um contador, responsável por cuidar da folha de pagamento de uma empresa, por exemplo, pode se encaixar na figura de operador trazida pela LGPD.

A Resolução CD/ANPD n. 2, de 27 de janeiro de 2022, dispensa ou flexibiliza obrigações impostas pela LGPD. Entre elas:

  • Autoriza a representação simplificada dos agentes de tratamento de pequeno porte por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para negociação, mediação e conciliação em caso de reclamações apresentadas por titulares de dados;
  • Possibilita a elaboração e manutenção de um registro simplificado das operações de tratamento de dados pessoais, prevista no artigo 37 da LGPD, cujo modelo será disponibilizado pela ANPD;
  • Indica que a ANPD trará regras específicas para flexibilização ou simplificação de comunicações de incidentes de segurança;
  • Dispensa da indicação de um encarregado (DPO), bastando a disponibilização de um canal de comunicação com os titulares de dados pessoais. Apesar da dispensa, a indicação de um DPO é expressamente considerada política de boa prática e governança, sendo relevante em caso de uma eventual aplicação (ou atenuação) de penalidades;
  • Possibilita o estabelecimento de uma política simplificada de segurança da informação;
  • Concede prazo em dobro para atendimento de solicitações dos titulares; para comunicação à ANPD sobre a ocorrência de incidentes de segurança, exceto quando houver potencial comprometimento da integridade física ou moral dos titulares ou segurança nacional; para o fornecimento de declaração completa aos titulares sobre o tratamento de seus dados nos moldes do artigo 19, inciso II, da LGPD e para apresentação de documentos, informações e relatórios solicitados pela ANPD.

O tratamento jurídico diferenciado, oferecido aos agentes de tratamento de pequeno porte, não poderá beneficiar aqueles que:

  • Aufiram receita bruta anual superior a 4,8 milhões, para empresas de pequeno porte, ou, no caso das startups, superior a 16 milhões de reais ou a R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses de exercício;
  • Pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior;
  • Realizem tratamento de alto risco.

Em regra, será considerado de alto risco o tratamento de dados pessoais que seja realizado em larga escala ou possa afetar significativamente interesses ou direitos fundamentais dos titulares e, cumulativamente se encaixe em pelo menos um dos seguintes critérios específicos:

  • Uso de tecnologias emergentes ou inovadoras;
  • Vigilância ou controle de zonas acessíveis ao público;
  • Tomada de decisões unicamente com base em tratamento automatizado de dados;
  • Uso de dados pessoais sensíveis, de crianças, de adolescentes ou de idosos.

Apesar da flexibilização e simplificação de alguns procedimentos, os agentes de tratamento de pequeno porte não estão dispensados de observar os princípios gerais para o tratamento de dados pessoais, bem como as bases legais que autorizam tais atividades, devendo também adotar medidas técnicas e administrativas para segurança e prevenção de incidentes, como o vazamento de dados.

Logo, é necessária uma análise cuidadosa das atividades desenvolvidas também por empresas de pequeno porte ou pessoas físicas, com finalidade econômica, a fim de que, ainda que de maneira mais simples, possam desenvolver seus negócios em total conformidade com a legislação.

Para mais informações consulte um de nossos especialistas, clicando aqui.

Comece a digitar e pressione Enter para pesquisar

STJ reafirma a impossibilidade de cumular pedido indenizatório à ação de nulidade de registro de marcaNotícias
Café Cultural – ASPI Debate: “A Jurisprudência Administrativa do INPI envolvendo Decisões de 2ª. Instância em Recursos de Marcas”Notícias