Resolução dispõe sobre a adequação à LGPD para microempresas, empresas de pequeno porte, startups e entes despersonalizados como os condomínios.
Sumário
Introdução
No dia 28 de janeiro de 2022, tivemos a publicação da segunda resolução da Autoridade Nacional de Proteção de Dados – ANPD sobre o tratamento de dados pessoais por agentes de tratamento de pequeno porte.
Esta regulamentação já era muito aguardada por todos os profissionais da área, sobretudo porque no Brasil o número de microempresas e empresas de pequeno porte é alto. Segundo o site do SEBRAE, existem 6,4 milhões de estabelecimentos ativos, destes 99% são microempresas e empresas de pequeno porte.
Através dessa resolução, os agentes de pequeno porte passam a ter um regulamento específico e simplificado ao tratarem dados pessoais, de acordo com a aplicação da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018).
A resolução
A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, tem como seu principal objetivo regulamentar a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
O regulamento possui o total de 16 artigos e pode ser acessado na íntegra através deste link.
Esta resolução entrou em vigor na data da sua publicação, portanto já está sendo aplicada desde o dia 28 de janeiro de 2022.
Quem não integra o regulamento simplificado
O regulamento da ANPD sobre agentes de tratamento de pequeno porte não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
Além disso, conforme previsto no artigo 4º da LGPD, também não se enquadram no regulamento o tratamento de dados pessoais realizados para fins exclusivamente, ou exclusivos de:
jornalístico e artísticos;
acadêmicos;
de segurança pública;
para defesa nacional;
de segurança do Estado;
para atividades de investigação e repressão de infrações penais; ou
provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.
Também não podem se beneficiar do tratamento jurídico diferenciado previsto no regulamento da ANPD os agentes de tratamento de pequeno porte que realizem um tratamento de alto risco para os titulares, com a ressalva da hipótese prevista no artigo 8º da LGPD.
Do mesmo modo, estão excluídos do regulamento aqueles que aufiram receita bruta superior ao limite de R$ 360.000,00 (trezentos e sessenta mil reais) para microempresas, e superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) para empresas de pequeno porte, conforme dispõe a Lei Complementar nº 123 de 2006.
Para as startups a receita bruta deve ser limitada até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior, ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada, conforme Lei Complementar nº 182 de 2021.
Por fim, os agentes de tratamento que pertençam a grupo econômico de fato ou de direito, cuja receita global não exceda os limites acima descritos, também estão excluídos deste regulamento simplificado.
Quem são os agentes de tratamento de pequeno porte?
Os agentes de tratamento de pequeno porte correspondem as microempresas, as empresas de pequeno porte, as startups, as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como as pessoas naturais e entes privados despersonalizados que realizam o tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Precisamos nos atentar que ao definir quem são os agentes de tratamento de pequeno porte, a ANPD utilizou a expressão "entes privados despersonalizados", com isso fica pacificado entre a Autoridade que entes despersonalizados, como o condomínio edilício e a sociedade irregular, precisam sim estar adequados as normas previstas na LGPD ao tratarem dados pessoais.
Obrigações dos agentes de tratamento de pequeno porte
Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, conforme disposto nos artigos 9º e 18 da LGPD, por meio:
eletrônico;
impresso; ou
qualquer outro que assegure os direitos previstos na LGPD, bem como ao acesso facilitado às informações pelos titulares.
A obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, compreendida pela sigla de ROPA, pode ser feita de forma simplificada. Tal forma simplificada será fornecida pela ANPD mediante um modelo prévio.
Com relação a comunicação de incidente de segurança, a ANPD irá dispor sobre uma forma flexibilizada e por meio de um procedimento simplificado para que os agentes de tratamento de pequeno porte assim o façam.
Os agentes de tratamento de pequeno porte podem estabelecer uma política simplificada de segurança da informação, que contemple os requisitos essenciais e necessários como: a proteção dos dados pessoais coletados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A respeito da segurança da informação para agentes de tratamento de pequeno porte a ANPD já possui um guia orientativo específico para este tema, que pode ser acessado na íntegra através deste link.
Agentes de tratamento de pequeno porte precisam indicar um DPO?
A ANPD regulamentou sobre a obrigatoriedade, ou não, dos agentes de tratamento de pequeno porte indicarem um DPO – Encarregado de Dados.
Na resolução ficou determinado que os agentes de tratamento de pequeno porte não são obrigados a indicar um Encarregado de Dados pelo tratamento de dados pessoais realizado, conforme exigido pelo artigo 41 da LGPD.
Porém, o agente de tratamento de pequeno porte que não indicar um Encarregado deverá disponibilizar um canal de comunicação com o titular de dados para atender o disposto no artigo 41, §2º, I da LGPD.
Para os agentes de tratamento que quiserem indicar um DPO, esta indicação será considerada como uma política de boas práticas e de governança, conforme disposto no artigo 52, §1º, IX da LGPD.
É importante frisarmos que a adoção de políticas de boas práticas e de governança são uma forma do agente de tratamento ter a aplicação de uma sanção administrativa dosificada, ou seja, como as sanções administrativas são aplicadas pela ANPD de forma gradativa, isolada ou cumulativa, a adoção de boas práticas configura um mecanismo interno para minimizar o dano, portanto pode impactar significativamente no resultado da sanção administrativa, podendo, inclusive, diminuí-la.
Benefícios aos agentes de tratamento de pequeno porte
Aos agentes de tratamento de pequeno porte, além de possuírem um regime simplificado e normas flexibilizadas para se adequarem à LGPD, também contarão com o prazo em dobro:
no atendimento das solicitações dos titulares de dados;
na comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
no fornecimento de declaração clara e completa, prevista no artigo 19, II da LGPD;
com relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Disposições finais
É importante destacarmos que a resolução publicada pela ANPD tem como objetivo simplificar o regramento jurídico da aplicação da LGPD para os agentes de tratamento de pequeno porte. Isso não significa que tais empresas não precisam estar em conformidade.
Pelo contrário, tudo que não foi abordado no regulamento é porque continua sendo obrigatório, inclusive a respeito das bases legais e da observação aos princípios, bem como sobre os direitos dos titulares.
Não é porque estamos lidando com uma dispensa ou flexibilização na norma de proteção de dados que isso represente uma adequação mais fácil, ou então desnecessária. É com o intuito de cultivar uma cultura de proteção de dados em todas as organizações e esferas corporativas que a ANPD buscou atender as especificidades das empresas de pequeno porte, sobretudo porque elas detêm particularidades e direito a um regime mais simplificado, para que a própria adequação à LGPD não impacte negativamente no empreendimento a ponto de ser fechado definitivamente.
A publicação deste regulamento é mais um passo importante sobre a privacidade e a proteção de dados pessoais no país, ao mesmo tempo em que demonstra a seriedade da ANPD em lidar com o tema, sobretudo quando as sanções administrativas já estão em pleno vigor.
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments