Publicações

LGPD: Novas regras para microempresas, empresas de pequeno porte e startups

Boletim, Inovação e Tecnologia

LGPD: Novas regras para microempresas, empresas de pequeno porte e startups

14/2/2022

No dia 28 de janeiro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 2, que regulamenta a aplicação da Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), para agentes de tratamento de pequeno porte.

Adotada com base no art. 55-J, XVIII, a Resolução visa dispensar e flexibilizar certas obrigações previstas na LGPD nos casos em que os agentes de tratamento sejam, entre outros, microempresas, empresas de pequeno porte e startups e desde que atendam determinados requisitos.

Essa medida faz parte de uma série de iniciativas da ANPD para estabelecer o tratamento jurídico diferenciado para esses agentes de tratamento, de modo a criar um “sandbox” regulatório específico no regime geral de proteção de dados pessoais no Brasil.

Quem são os Agentes de Pequeno Porte beneficiados pela Resolução nº 2?

Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, que se enquadrem num dos seguintes requisitos:

Quem não poderá se beneficiar com a Resolução?

Alguns agentes, ainda que se enquadrem na categoria de microempresas, empresas de pequeno porte e startups, não serão beneficiados pela aplicação da Resolução caso: (i) realizem atividades de tratamento de alto risco para os titulares dos dados pessoais; (ii) cuja receita bruta acima exceda os limites indicados acima ou ainda (iii) que pertençam a grupo econômico cuja receita global ultrapasse esses gatilhos.

Para que determinado tratamento de dados seja caracterizado como sendo de alto risco (o que impossibilitaria a aplicação da flexibilização estabelecida na Resolução nº2), devem ser constatados ao menos um dentre os seguintes critérios gerais e um dentre os seguintes critérios específicos:

O que muda para quem se enquadrar na categoria de agentes de tratamento de pequeno porte e puder se beneficiar da Resolução nº 2?

Obrigações relacionadas aos direitos dos titulares

Os agentes de tratamento de pequeno porte poderão atender as solicitações dos titulares de dados pessoais por meio eletrônico, impresso ou por qualquer outro meio previsto na LGPD que assegure o acesso facilitado às informações pelos titulares.
Agentes de tratamento de pequeno porte, inclusive aqueles que realizam tratamento de alto risco e em larga escala, poderão se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Registro das Atividades de Tratamento

Os agentes de tratamento de pequeno porte poderão cumprir de forma simplificada a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, conforme o art. 37 da LGPD.
A ANPD fornecerá modelos para esse registro simplificado.

Comunicação de Incidentes de Segurança

A ANPD emitirá regulamentação específica de forma a flexibilizar ou estabelecer um procedimento simplificado para que os agentes de tratamento de pequeno porte comuniquem a ocorrência de incidente de segurança.

Encarregado pelo Tratamento de Dados Pessoais

Agentes de tratamento de pequeno porte não serão obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com os titulares de dados.

Segurança e Boas Práticas

Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
Os agentes de tratamento de pequeno porte poderão estabelecer política simplificada de segurança da informação.
A política simplificada de segurança da informação deve contemplar os requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A política simplificada de segurança da informação levará em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.

Prazo em dobro

Aos agentes de tratamento de pequeno porte será concedido prazo em dobro em três situações (i) no atendimento das solicitações de titulares de dados; (ii) na comunicação à ANPD e ao titular de dados sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; (iii) no fornecimento ao titular da declaração clara e completa sobre a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, facultando-se o fornecimento da declaração no formato simplificado no prazo de até 15 (quinze) dias; (iv) em relação aos prazos estabelecidos em normativos próprios pela ANPD.

Direitos dos Titulares

É importante frisar que a Resolução não altera os direitos dos titulares previstos na LGPD

No dia seguinte a publicação da Resolução, no dia 29/01, a ANPD abriu um canal para recebimento de contribuições da sociedade civil sobre o assunto, que podem ser enviadas até o dia 01/03 para o e-mail [email protected], com o assunto Tomada de Subsídios 1/2021.

A equipe de Inovação e Tecnologia de L.O. Baptista Advogados está à disposição para prestar esclarecimentos e assistência a respeito deste tema. Entre em contato para mais informações sobre como a sua empresa pode ser beneficiada com a Resolução.