235 segundos
Tempo aproximado de leitura: 9 minutos
A Autoridade Nacional de Proteção de Dados aprovou, na última semana, o Regulamento de Aplicação da LGPD para agentes de tratamento de pequeno porte. Veja, em nosso artigo, os principais pontos do Regulamento.
Por meio da Resolução CD/ANPD, de 27 de janeiro de 2022, publicada no dia 28 de janeiro, a Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou o Regulamento de Aplicação da Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”) para Agentes de Tratamento de Pequeno Porte (“Regulamento”).
A regulamentação da aplicação da LGPD para esses agentes já era esperada e, inclusive, está dentre as competências da ANPD, nos termos do artigo 55 – J, inciso “xviii” da LGPD[1]. O objetivo do novo Regulamento é simplificar os procedimentos e estabelecer prazos diferenciados nos casos em que o agente de tratamento se enquadrar como de pequeno porte, de forma a adequar as regras da LGPD a esses agentes.
Conforme artigo 2º do Regulamento, o termo “agente de tratamento de pequeno porte” compreende: “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.
É importante destacar que o Regulamento não será aplicado ao agente de tratamento que (i) realizar tratamento de alto risco para os titulares, ressalvada as hipóteses previstas no Regulamento; (ii) auferir receita bruta anual superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) ou superior a R$ 16.000.000,00 (dezesseis milhões de reais), no caso de startups; ou (iii) pertença a grupo econômico, cuja receita global ultrapasse os limites referidos no item II, conforme o caso.
Será considerado de alto risco o tratamento de dados pessoais que atender, de forma cumulativa, qualquer critério geral (coluna da esquerda) e um critério específico (coluna da direita), previstos no artigo 4º do Regulamento, abaixo identificados:
Sempre que solicitado pela ANPD, o agente de tratamento deverá comprovar o enquadramento como agente de tratamento de pequeno porte, nos termos do Regulamento. Ademais, a ANPD poderá determinar o cumprimento das obrigações dispensadas ou flexibilizadas pelo Regulamento, a depender das circunstâncias do tratamento de dados e riscos para os titulares.
Dentre as flexibilizações trazidas pelo Regulamento, destacamos a possibilidade de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, de acordo com modelo a ser fornecido pela ANPD.
Outra alteração relevante é a possibilidade do agente ser representado por entidades empresariais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados, inclusive para os agentes que realizarem tratamento considerado como alto risco.
Os procedimentos para comunicação de incidentes de segurança também serão flexibilizados, o que constará em regulamentação específica da ANPD.
Conforme previsto no Regulamento, os agentes de tratamento de pequeno porte estão dispensados de indicar encarregado pelo tratamento de dados pessoais, também conhecido como Data Protection Officer ou DPO. Caso deixe de indicar o encarregado, o agente de tratamento deverá disponibilizar canal de comunicação com o titular de dados.
O Regulamento prevê, ainda, a possibilidade de adoção de política de segurança da informação de forma simplificada pelos agentes de tratamento de pequeno porte, desde que observe requisitos essenciais e necessários para o tratamento de dados pessoais.
Com relação aos prazos diferenciados, o Regulamento concedeu prazo em dobro para os agentes de pequeno porte nas seguintes situações: (i) atendimento às solicitações dos titulares; (ii) comunicação de incidente de segurança; (iii) fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD; e (iv) prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Com as flexibilizações estabelecidas no Regulamento, as obrigações previstas na LGPD foram adaptadas à situação dos agentes de tratamento de pequeno porte. No entanto, ressaltamos que o agente deverá cumprir as demais disposições da LGPD, incluindo os princípios e bases legais.
Continue nos acompanhando e fique por dentro das novidades sobre o tema.
[1] Nos termos do inciso “xviii” do artigo 55-J da LGPD, compete à ANPD: “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.