Resolução da ANPD – Agência Nacional de Proteção de Dados flexibiliza a aplicação da LGPD

A resolução nº 02/2022, publicada no dia 28/01/2022, da Autoridade Nacional de Proteção de Dados – ANPD regulamentou a Lei Geral de Proteção de Dados - Lei nº 13.709/2018, para microempresas, empresas de pequeno porte, startups, associações sem fins lucrativos, ou seja, agentes de tratamento de pequeno porte.

A resolução define a quem ela se aplica:

· Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

· Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 ( Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, § 1º da Lei Complementar nº 123, de 14 de dezembro de 2006;

· startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e

· zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

As flexibilizações não são aplicáveis nas seguintes situações:

· tratamento de dados for considerado de alto risco para os titulares;

· os agentes de tratamento aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 (superior a R$ 4,8 milhões por ano) ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021 (superior a R$ 16 milhões por ano); ou

· os agentes de tratamento pertencerem a grupo econômico, de fato ou de direito, cuja receita global ultrapasse os limites referidos acima.

Mas afinal, o que foi flexibilizado?

Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio eletrônico, impresso; ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.

Além disso, eles podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada, conforme modelo a ser disponibilizado pela ANPD.

Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, porém quando não nomear, deverá disponibilizar um canal de comunicação com o titular de dados. Caso opte por indicar, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança.

Ainda, os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

O regulamento traz ainda prazo diferenciado aos agentes de tratamento de pequeno porte que será concedido em dobro: I - no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica; II - na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação; III - no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD; IV - em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Fonte: JusBrasil