LGPD e agentes de tratamento de pequeno porte

No último dia 28 de janeiro, dia internacional da proteção de dados, a ANPD – Autoridade Nacional de Proteção de Dados publicou a Resolução n. 2, que regulamenta a aplicação da LGPD – Lei Geral de Proteção de Dados para agentes de tratamento de pequeno porte.

A inciativa foi comemorada pelas micro e pequenas empresas e pessoas físicas que, além de tratarem pequeno volume de dados pessoais, não possuem condições financeiras e/ou estruturais para cumprirem todas as exigências da LGPD, como indicação de encarregado e manutenção de registro de informações.

Inicialmente, a lei define quem são os agentes de tratamento de pequeno porte, beneficiados pela regulamentação, como sendo “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.

Para fins desta Regulamentação, considera-se:

• Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal e o empresário, incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
• Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021;
• Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Na sequência, a lei prevê que, apesar de se enquadrarem como agentes de tratamento de pequeno porte, não estão amparados pelo Regulamento n. 2 aqueles que: 

1. realizem tratamento de alto risco para os titulares; 
2. aufiram receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), ou, no caso de startups, de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses;
3. pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior;

Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade por meio eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.

Uma das mais trabalhosas exigências, o registro de operações, previsto no art. 37 da LGPD, poderá ser cumprido de forma simplificada, através de modelo a ser fornecido pela própria ANPD. 

Outra exigência muito questionada era a obrigatoriedade de indicação de um encarregado  também conhecido como DPO - Data Protection Officer, pelo tratamento de dados pessoais, que poderia ser um funcionário da empresa ou terceirizado, gerando custos extras. A Resolução n. 2 isentou os agentes de tratamento de pequeno porte desta obrigação, exigindo, em contrapartida, a disponibilização de um canal de comunicação com o titular de dados para atender às suas solicitações. A indicação do encarregado, se realizada, será considerada como política de boas práticas e governança, para fins de atenuante das penalidades a serem impostas em caso de descumprimento da LGPD.

As boas práticas podem ser também medidas administrativas e técnicas, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento. A política de segurança de informação também poderá ser simplificada, tendo como objetivo de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito

Sobre a comunicação de incidentes de segurança para agentes de tratamento de pequeno porte, o procedimento ainda será elaborado pela ANPD.

Outro benefício trazido é o prazo em dobro para atendimento das solicitações dos titulares, comunicações à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante, para fornecimento de declaração clara e completa e para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD.

A ANPD poderá, porém, determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.

A dispensa ou flexibilização das obrigações dispostas no Regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

Nosso escritório está apto a te ajudar na implementação de privacidade e proteção de dados. Ficou com alguma dúvida? Entre em contato através do nosso WhatsApp: http://bit.ly/2wLoGGq.