A adequação das empresas à LGPD foi e continua sendo um desafio, especialmente para empresas pequenas, startups e empresas que realizam poucos processos de tratamento de dados pessoais ou tratam um volume baixo de dados pessoais. A aplicação da LGPD em empresas de pequeno porte foi tema específico de norma recente da Autoridade Nacional de Proteção de Dados (ANPD). A ANPD publicou em 28 de janeiro de 2022 a Resolução CD/ANPD N°2, DE 27 DE JANEIRO DE 2022, a qual regula a aplicação da Lei Geral de Proteção de Dados (Lei n° 13.709/2018), para Agentes de Tratamento de Pequeno Porte.
Essa Resolução tem o intuito de facilitar a aplicação da LGPD para os agentes de tratamento de pequeno porte e proteger dados pessoais dos titulares.
O que é tratamento de dado pessoal?
Para a LGPD, toda operação realizada com um dado pessoal é tratamento. Por todo o ciclo de vida do dado pessoal, cada atividade desde a coleta até a exclusão é considerada tratamento de dado pessoal. Exemplos de tratamento: coleta, classificação, armazenamento, compartilhamento, extração, eliminação, entre outros.
Qual a diferença entre Empresa de Pequeno Porte e Agentes de Tratamento de Pequeno Porte para a LGPD?
Os conceitos não são os mesmos. Mas, para a LGPD, Agentes de Tratamento de Pequeno Porte são as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive aquelas sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados. Assim, veremos a seguir qual a aplicação da LGPD em Empresas de Pequeno Porte que se enquadram como Agentes de Tratamento de Pequeno Porte.
Quanto esses Agentes de Tratamento de Pequeno Porte não podem se beneficiar da flexibilização da LGPD?
Os Agentes de Tratamento de Pequeno Porte não podem se utilizar da resolução quando realizarem tratamento de alto risco para os titulares.
Tratamento de alto risco, é o tratamento de dados pessoais que atende cumulativamente um critério geral e um critério específico:
Critérios gerais
Empresas que realizam tratamentos de dados pessoais: (i) de larga escala; (ii) que abrange número significativo de titulares; (iii) com alto volume de dados envolvidos; ou (iv) que possa afetar substancialmente interesses e direitos fundamentais dos titulares (art. 4º, I). Para cada um dos critérios gerais, também é considerada a duração, frequência e a extensão geográfica do tratamento realizado.
Critérios específicos
Empresas que realizam: (i) uso de tecnologias emergentes ou inovadoras; (ii) vigilância ou controle de zonas acessíveis ao público; (iii) decisões tomadas unicamente com base em tratamento automatizados de dados pessoais; ou (iv) utilização de dados pessoais sensíveis ou de crianças, adolescentes e idosos (art. 4°, II).
Assim, não podem se beneficiar da resolução empresas que, simultaneamente, se enquadram em pelo menos um critério geral e pelo menos um critério específico.
A empresa também não poderá se beneficiar quando auferir receita bruta superior a R$4.800.000,00, no caso de startups, R$16.000.000,00, ou quando pertencer a grupo econômico cuja receita global também ultrapasse esses valores.
Com essa Resolução, o Agente de Tratamento de Pequeno Porte ainda precisa cumprir a LGPD?
Sim. O art. 6° da Resolução esclarece que a dispensa ou flexibilização das obrigações dispostas na Resolução não desobriga os Agentes de ?Tratamento de Pequeno Porte do cumprimento dos demais dispositivos da LGPD, bem como o uso das bases legais, dos princípios e direitos dos titulares.
Quais são os pontos de flexibilização da Resolução em relação à LGPD?
A aplicação da LGPD em Empresas de Pequeno Porte que se enquadram como Agentes de Tratamento de Pequeno Porte apresenta entre os principais pontos de flexibilização:
Comunicação com os titulares
Organização por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados, inclusive dos agentes de tratamento de pequeno porte que realizem tratamento de alto risco (art. 8°).
Mapeamento de dados pessoais
Elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada. A resolução dispõe que a ANPD fornecerá modelo para o registro simplificado (art. 9°).
Incidente de Proteção de dados pessoais
Flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, o qual a ANPD disporá sobre (art. 10°);
Encarregado de dados pessoais
Não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD. O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD (art. 11);
Segurança da informação
Estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais (art. 13);
Prazos
Prazo em dobro para: a) atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais; b) comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional; c) fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD; d) a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento (art. 14).
Dessa forma a Resolução trouxe diretrizes diferenciadas e pontos positivos de flexibilização a fim de facilitar o tratamento de dados pessoais para o agente de tratamento de pequeno porte.
Leia também: