Agentes de tratamento de pequeno porte
Por meio da Resolução CD/ANPD nº 2/2022 foi aprovado o Regulamento da Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.709/2018 e destina-se aos agentes de tratamento de pequeno porte.
A resolução flexibiliza, mas não elimina as obrigações das empresas (Agentes de tratamento) de cumprir as regras da LGPD.
Podemos destacar que a Resolução ainda precisa de definições, principalmente para as exceções.
Dentre diversas disposições introduzidas, separamos alguns tópicos para comentar:
O regulamento consideram agentes de tratamento de pequeno porte:
– Microempresas (ME) e empresas de pequeno porte (EPP): sociedade empresária, sociedade simples, sociedade limitada unipessoal, e o empresário, incluído o microempreendedor individual (MEI);
– Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182/2021;
– Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
– Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros;
O regulamento não se aplica nos seguintes casos:
– Realizado por pessoa natural para fins exclusivamente particulares e não econômicos, e nas demais hipóteses previstas no art. 4º da LGPD;
– Os agentes de tratamento de pequeno porte que:
1. Realizem tratamento de alto risco para os titulares, ressalvada a hipótese de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
2. Aufiram receita bruta superior a: R$ 4.800.000,00, no caso de empresas do Simples Nacional; R$ 16.000.000,00, no caso de startups; ou pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites previstos para empresas do Simples Nacional, conforme o caso;
Será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
1. Critérios gerais: tratamento de dados pessoais em larga escala; ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
2. Critérios específicos: uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado dedados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos;
A dispensa ou flexibilização das obrigações previstas no referido regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio: eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada. A ANPD fornecerá modelo para o registro simplificado.
A ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica.
Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD, observando-se que:
1. O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD;
2. Indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD.
Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento (exemplo de segurança e boas práticas são os guias orientativos).
1. Terão prazo em dobro:
a. No atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;
b. Na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;
c. No fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;
d. Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento;
2. Prazo de 15 dias – declaração simplificada: os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada de confirmação de existência ou o acesso a dados pessoais será fornecido no prazo de até 15 dias, contados da data do requerimento do titular;
3. Outros prazos: os prazos não dispostos no regulamento para agentes de tratamento de pequeno porte serão determinados por regulamentação específica;
No mais, à critério da ANPD, poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Atenção!
O objetivo desta página é meramente informativo – não prestamos consultoria jurídica, tampouco nos responsabilizamos por medidas que possam ser adotadas por terceiros em relação à Lei Geral de Proteção de Dados (LGPD).