ANPD publica regulamento para aplicação da LGPD para agentes de tratamento de pequeno porte

A Autoridade Nacional de Proteção de Dados (ANPD), publicou no Diário Oficial da União (DOU) da última sexta-feira (28/01), a Resolução CD/ANPD n.º 02, de 27 de janeiro de 2022, que aprova o regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte. O texto não exime os agentes de pequeno porte de cumprirem a lei de tratamento de dados, inclusive das bases legais e dos princípios, entretanto, concede a eles diversos tratamento simplificados e diferenciados.

As normas previstas no regulamento serão válidas exclusivamente para microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam o tratamento de dados pessoais.

Entretanto, a norma prevê expressamente que não serão beneficiados pelo tratamento jurídico diferenciado do regulamento, as empresas que aufiram receita bruta superior a R$ 4.800.00,00 (quatro milhões e oitocentos mil reais), ou que pertençam a grupo econômico cuja receita global ultrapasse o referido limite, ou que realizem tratamento de alto risco para os titulares.

Considera-se tratamento de alto risco aquele que atender, cumulativamente, a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

Critérios gerais:

– Tratamento de dados pessoais em larga escala, que caracteriza-se pela abrangência de número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;

– Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares que será caracterizado naquelas situações em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, bem como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade;

Critérios específicos:

– Uso de tecnologias emergentes ou inovadoras;

– Vigilância ou controle de zonas acessíveis ao público;

– Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

– Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Ainda, o regulamento dispõe que os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares por meio eletrônico, impresso ou qualquer outro que assegure o acesso facilitado às informações pelos titulares.

A normativa prevê que os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, em modelo ainda a ser divulgado pela ANPD.

Além disto,  podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou qualquer forma de tratamento inadequado ou ilícito.

Salienta-se que a maior novidade prevista pelo regulamento é que os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, o DPO, apenas devem disponibilizar um canal de comunicação com o titular de dados.

Com relação aos prazos, o regulamento dispõe que as microempresas, empresas de pequeno porte, startups terão prazo em dobro para atendimentos de solicitações dos titulares dos dados, comunicação junto à ANPD e para atender ocorrência de incidentes de segurança, apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento e fornecimento de declaração de confirmação de existência ou de acesso a dados pessoais. No caso de declaração simplificada, ela poderá ser fornecida em até 15 dias a partir do requerimento do titular.

As normas estabelecidas no presente regulamento entraram em vigor na data da sua publicação.

Permanecemos à disposição para demais esclarecimentos que se fizerem necessários, bem como para o encaminhamento do inteiro teor da Resolução n° 2, de 27 de janeiro de 2022.

AGF Advice Consultoria Legislativa, Tributária e Empresarial