Novas regras da LGPD para pequenas empresas grandes negócios
O mundo da privacidade e proteção de dados ainda é muito novo para muitas empresas e profissionais da área, o que requer constante atualização, estudo e conhecimento. No entanto, não resta dúvida de que a necessidade da adequação à LGPD - Lei Geral de Proteção de Dados é uma realidade.
Ocorre que, ainda no início deste ano, o conselho diretor da nossa ANPD - Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD 2, regulando o tratamento de dados pessoais por parte de agentes de tratamento de pequeno porte e startups. Fato esse que trouxe muitas dúvidas para as empresas classificadas nestes requisitos.
A resolução endereça condições especiais e procedimentos diferenciados para simplificar e facilitar a aplicação da LGPD para as empresas de pequeno porte e startups. Este artigo traz as principais observações e reflexões desta nova resolução da LGPD para as pequenas empresas e seus grandes negócios.
Importante lembrar, que a Resolução CD/ANPD 2 não excluiu dos agentes de tratamento de pequeno porte e as startups da necessidade de adequação e atendimento da LGPD (lei 13.709/18), fato esse referenciado no próprio art. 6° da resolução. A regulamentação traz tratativas especiais para as empresas a ela enquadradas, ou seja, flexibilização.
Então, vamos começar entender quem são esses agentes de tratamento de pequeno porte descritos no artigo 2° da Resolução. Simplificando, se enquadram na normativa as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, sociedade limitada unipessoal e microempreendedor individual, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais. (Ver na resolução maior detalhamento dos critérios empresariais).
Desta forma, neste contexto vale lembrar a aplicação LGPD, vejamos:
"Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:"
A primeira reflexão gira em torno de que a resolução não é para todas as pequenas empresas e startups, uma vez que a regulamentação traz no art. 3° os agentes de pequeno porte que não poderão se beneficiar das tratativas diferenciadas.
"Art. 3º Não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que:
I - realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;
II - aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
III - pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso."
Desta forma, é conveniente que as empresas que acreditem estar incluídas como agente de tratamento de pequeno porte analisem os arts. 2° e 3° da resolução, assim como, todo o detalhamento sobre o tratamento de alto risco trazidos no Capítulo III - Do Tratatamento de alto risco da Resolução CD/ANPD 2. Uma vez que, a normativa é bem clara ao impor no seu art. 5° a responsabilidade da comprovação do enquadramento nos critérios de agente de tratamento de pequeno porte para as empresas, quando solicitado pela ANPD em até quinze dias.
Ademais, no último artigo a ANPD traz a possibilidade de determinar ao agente de tratamento de pequeno porte e startups o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Ou seja, faz-se necessário uma análise criteriosa e estratégica sobre a adesão das pequenas empresas e startups à Resolução CD/ANPD 2, uma vez que o art. 4° traz critérios por muitas vezes subjetivos de classificação de tratamento de alto risco.
Sanada essa questão, vamos caminhando entre os artigos da resolução para adentrar nas obrigações que se referem aos direitos do titular dos dados. Antemão, não houve mudanças, pois o agente de tratamento de pequeno porte deve disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD.
Outra novidade, diz respeito a possibilidade de simplificar os registros das operações de tratamento de dados pessoais constante do art. 37 da LGPD. Todavia, caberá à ANPAD fornecer as orientações para o registro simplificado de governança.
Seguindo pelas seções da normativa, encontram-se as tratativas para comunicação de incidentes de Segurança que também será flexibilizada para os agentes de tratamento de pequeno porte, no entanto, ainda pendente de regulamentação pela Autoridade. Atualmente, a ANPD disponibiliza em seu site formulário específico com peticionamento eletrônico para comunicação de incidentes de segurança.
Outro ponto que trouxe importante, gira em torno da desnecessidade de indicação de encarregados de proteção de dados elencado no art. 11 da resolução, no qual desobriga a exigência do art. 41 da LGPD. Contudo, o agente de tratamento de pequeno porte deverá disponibilizar canal de comunicação para atender ao titular de dados. Vale salientar, que a própria resolução vê com bons olhos a indicação de encarregado por partes da empresas de pequeno porte e startups sendo entendido pela ANPD como uma política de boas práticas e governanças dispostas no art. 52 da LGPD.
A resolução enfatiza as boas práticas de prevenção e segurança e elenca a possibilidade dos agentes de tratamento de pequeno porte enquadrados na resolução de estabelecerem uma política simplificada de segurança da informação. A Política de Segurança da Informação simplificada deverá contemplar requisitos essenciais e necessários para tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Fechando a reflexão sobre a resolução, os agentes de tratamento de pequeno porte gozarão de prazos diferenciados, em dobro, para atender o regulamento de proteção de dados conforme disposto no artigo 14 da resolução. E o prazo de até quinze dias para fornecer declaração simplificada nos moldes do artigo 19, I da LGPD.
Por fim, o que a Resolução 2 da ANPD tem o objetivo de simplificar e facilitar a aplicação da LGPD para os agentes de tratamento de pequeno porte e startups enquadrados em seus arts. 2° e 3°. No entanto, vale destacar que a Resolução não isenta esse grupo dos demais dispositivos e adequação à LGPD, devendo estes cumprir todos os artigos da LGPD, exceto os trazidos pela Resolução específica.
_____
Artigo publicado no Portal Jurídico Migalhas link:
