FIDS News

ANPD flexibiliza aplicação da LGPD para empresas de pequeno porte

Grupo de funcionarios analisando papeis

Com o intuito de facilitar que agentes de tratamento de pequeno porte se adequem à Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 28 de janeiro de 2022 um novo regulamento – a Resolução CD/ANPD nº 2.

De acordo com o regulamento, enquadram-se como agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, que assumem obrigações típicas de controlador ou de operador.

Exceções

No entanto, nem todos os agentes de tratamento de pequeno porte poderão se beneficiar das flexibilizações, pois o regulamento traz algumas exceções:

  • empresas que realizem tratamento de alto risco para os titulares;
  • aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
  • pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites acima referidos.

Para o regulamento, será considerado tratamento de alto risco para os titulares, o tratamento que atender cumulativamente a pelo menos um critério geral e um critério específico, abaixo:

I - critérios gerais:

a) tratamento de dados pessoais em larga escala; ou

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II - critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Para as empresas que possam se beneficiar do regulamento, a nova diretriz flexibiliza questões como a nomeação do encarregado de dados, ficando a critério da empresa que se enquadra como agentes de tratamento de pequeno porte nomear o encarregado de dados e estruturar uma Política de Segurança da Informação Simplificada, por boa prática e governança.

Outra alteração relevante foi em relação aos prazos de solicitações dos titulares referentes ao tratamento de seus dados pessoais e comunicação à ANPD sobre a ocorrência de incidente de segurança, ficando estabelecido prazo diferenciado (em dobro).

Apesar das flexibilizações, as disposições do regulamento, não isentam os agentes de tratamento do cumprimento das obrigações dispostas na LGPD, como:

  • disponibilização de informações sobre o tratamento de dados pessoais;
  • divulgação do canal de comunicação para atendimento aos titulares de dados;
  • atendimento a petições de titulares de dados;
  • adoção de medidas de segurança para proteção dos dados pessoais, de forma a garantir a proteção contra acessos não autorizados, destruição, perda, alteração e entre outros, na forma dos artigos 12 e 13 do Regulamento.

De acordo com as especialistas de Privacidade da Grant Thornton Brasil Márcia Santos e Nathália Rocha, responsáveis por projetos de Adequação à Lei Geral de Proteção de Dados, independente do porte da empresa, por melhores práticas recomenda-se a estruturação de um programa de governança e privacidade, com políticas, procedimentos, processos e tecnologias, possibilitando a disseminação de uma cultura e um ambiente de conformidade com a LGPD.

 

Barra decorativaComo podemos auxiliar as empresas nessa jornada?

Temos equipes especializadas em privacidade e proteção de dados para auxiliar na adequação das empresas à LGPD, independentemente do porte e setor de atuação, avaliando as necessidades específicas de cada negócio.

Conheça nossa abordagem para Adequação à LGPD