Por meio da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
A regulamentação específica, instituída por referida Resolução, se aplica apenas aos agentes de tratamento de pequeno porte, assim compreendidos as microempresas, as empresas de pequeno porte, as startups, as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como as pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Para fins desta Resolução, são consideradas como microempresas e empresas de pequeno porte a sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei 14.195/2021, bem como o empresário a que se refere o art. 966 do Código Civil, incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123/2006. Ainda, as startups, definidas como as organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182/2021.
Caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra como tal em até 15 dias.
Ainda que haja enquadramento como microempresas, empresas de pequeno porte ou startups, não serão beneficiadas pelo Regulamento específico caso realizem tratamento de alto risco para os titulares (exceto se organizados por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados) ou caso aufiram (ou pertençam a grupo econômico de fato ou de direito que o faça, a título de receita global) receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123/2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182/2021.
Para fins desta Resolução, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, assim classificados:
Critérios gerais:
a) tratamento de dados pessoais em larga escala – que será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares – caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público (aquelas caracterizadas como espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros);
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
São obrigações do agente de tratamento de pequeno porte:
- Obrigações relacionadas aos direitos do titular: devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos artigos 9º e 18 da LGPD, por meio eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares. Inclusive, poderão se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
- Registro das atividades de tratamento: A obrigação estabelecida pelo artigo 37 da LGPD pode ser cumprida de forma simplificada. A ANPD fornecerá modelo para tal registro simplificado.
- Comunicações dos Incidentes de Segurança: A ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica.
- Encarregado pelo tratamento de dados pessoais: Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, conforme exigido no artigo 41 da LGPD – entretanto, não havendo indicação, deverá ser disponibilizado um canal de comunicação com o titular de dados para atender o disposto no artigo 41, § 2º, I da LGPD. Caso haja a indicação de Encarregado, tal ação será considerada política de boas práticas e governança para fins do disposto no artigo 52, §1º, IX da LGPD.
- Segurança e das boas práticas: Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento. Este atendimento será considerado como observância ao disposto no artigo 52, §1º, VIII da LGPD (que trata da mensuração de sanções aplicáveis). Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação – levando em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações – que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
- Prazos diferenciados: Aos agentes de tratamento de pequeno porte será concedido prazo em dobro (podendo outros ser determinados por regulamentação específica):
- no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
- na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;
- no fornecimento de declaração clara e completa, prevista no artigo 19, II da LGPD (no caso da declaração simplificada de que trata o artigo 19, I, da LGPD, no prazo de até 15 dias, contados da data do requerimento do titular); e
- em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Vale mencionar que a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Nosso escritório está à disposição dos clientes para discutir e auxiliar a compreender melhor as novidades introduzidas pela LGPD e, também, pela presente Resolução.