No dia 28.01.22 foi publicada a Resolução CD/ANPD n° 2/2022, pela Autoridade Nacional de Proteção de Dados (ANPD), que estabelece sobre a metodologia e aplicação da Lei Geral de Proteção de Dados n° 13.709/2018 (LGPD) para agentes de tratamento de pequeno porte.
A nova regulamentação já se encontra em aplicação.
Mas quem são considerados como agentes de tratamento de pequeno porte e como estão qualificados?
Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
As microempresas e as empresas de pequeno porte são as sociedades empresárias, sociedades simples, sociedades limitadas unipessoais (inclusive as empresas individuais de responsabilidade limitada (EIRELI) e que foram transformadas em sociedades limitadas unipessoais) e o empresário quem exerce profissionalmente atividade econômica organizada para a produção ou a circulação de bens ou de serviços (como os microempreendedores individuais), devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas e que possuam receita bruta anual mínima de R$ 360 mil e com teto de R$ 4.8 milhões.
Já as startups são consideradas como organizações empresariais e societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados.
Para a startups, será considerado beneficiado por este regulamento, aquelas que aufiram receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada.
Existe alguma exceção para que o agente de tratamento de pequeno porte se beneficie da simplificação no tratamento de dados?
Sim! As empresas que auferirem receita bruta superior aos limites estabelecidos e indicados acima e aqueles que realizarem tratamento de alto risco para os titulares.
O que é considerado como tratamento de alto risco para os titulares?
É o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
Critérios gerais:
- Tratamento de dados pessoais em larga escala (quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado); ou
- Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares (atividade de tratamento que puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).
Critérios específicos:
- Uso de tecnologias emergentes ou inovadoras;
- Vigilância ou controle de zonas acessíveis ao público;
- Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Quais são os benefícios concedidos aos agentes de tratamento de pequeno porte?
- Simplificação na elaboração e manutenção de registro das operações de tratamento de dados pessoais;
A ANPD fornecerá modelo para o registro simplificado indicado acima.
- Simplificação na elaboração de política de segurança da informação e que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sendo que esta política pode ser considerada como uma forma de prestação de contas, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, uma forma de flexibilizar e calcular eventuais sanções, além de ser visto como uma adoção de políticas de boas práticas e governança;
Flexibilização ou procedimento simplificado de comunicação de eventual incidente de segurança, os quais serão estabelecidos pela ANPD.
- A indicação de um encarregado (DPO – Data Protection Officer) para o tratamento dos dados pessoais coletados para a atividade econômica será facultativo, mas eventual indicação será considerada como política de boas práticas e governança, sendo este um fator considerado pela ANPD para a aplicação de eventuais sanções em caso de descumprimento da lei.
Caso o agente de tratamento de pequeno porte não indique um encarregado, deverá disponibilizar um canal de comunicação com o titular de dados.
- Para estes agentes serão concedidos prazos em dobro para:
- Atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
- Comunicação à ANPD e ao titular em caso de eventual incidente de vazamento ou compartilhamento indevido de dados, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
- Fornecimento de declaração clara e completa para a confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular;
- Apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Existe uma facilidade na resolução de eventuais reclamações realizadas por titulares de dados?
Ao agente de tratamento de pequeno porte é facultado a negociação ou tentativa de resolução de demandas por procedimentos extrajudiciais como mediação e conciliação para que sejam reduzidos o número de ações judiciais.
Mas lembre-se!
Caso seja questionado pela ANPD sobre o direito de se enquadrar nas disposições deste Regulamento, será necessário comprovar que se enquadra nas hipóteses indicadas no item sobre a qualificação dos agentes de tratamento de pequeno porte.
Artigo escrito por: Nicolli Parra – OAB/SP 262.683-E – Graduanda em Direito pela Universidade Metodista de São Paulo. Especialização em Legalização de Empresas pelo Sindicato dos Contabilistas de São Paulo.
Juliana Gomes – Graduanda em Direito pela Faculdade de Direito de São Bernardo do Campo. Especialização na Implementação e Adequação a Lei Geral de Proteção de Dados n° 13.709/2018.
Os artigos e notícias reproduzidos neste blog são, tanto no conteúdo quanto na forma, de inteira responsabilidade de seus autores e não refletem, necessariamente, a opinião integral do escritório Vieira Tavares Advogados.