LEMOS | Advocacia para Negócios > Direito Digital > LGPD para Agentes de Tratamento de Pequeno Porte e Startups

LGPD para Agentes de Tratamento de Pequeno Porte e Startups

28/03/2022

Adriana Garibe 

A ANPD (Autoridade Nacional de Proteção de Dados) publicou a Resolução CD/ANPD 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD (Lei Geral de Proteção de Dados) para agentes de tratamento de pequeno porte, incluindo startups. O regulamento tem como objetivo trazer proteção aos direitos dos titulares, obedecendo à risca a LGPD, mas dando maior flexibilidades aqueles que são fundamentais para a economia e desenvolvimento tecnológico do país. As regras de flexibilização da lei são aplicadas às Microempresas que faturam até  R$ 360 mil por ano; EPP que faturam de R$ 360 mil a R$ 4.8 milhões por ano; Microempreendedor Individual que tenha faturamento até R$ 81 mil por ano e  que não participe como sócio, administrador ou titular de outra empresa, contrate no máximo um empregado e exerça atividades econômicas; startups;  pessoas jurídicas de direito privado com receita bruta anual igual ou inferior a R$ 4.8 milhões; organizações sem fins lucrativos e pessoas naturais que exerçam atividade econômica com receita bruta também inferior a R$ 4.8 milhões por ano.

Importante ressaltar que a flexibilização das obrigações dispostas no regulamento da ANPD não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da lei, devendo sempre serem observados os princípios norteadores da legislação e as bases legais que autorizam o tratamento de dados pessoais.

Os principais itens de flexibilização são: as respostas as solicitações dos titulares podem ser feitas por meio eletrônico, impresso ou qualquer outro meio que seja de fácil acesso e assegure os direitos dos titulares; o registro das atividades de tratamento pode ser feito de forma simplificada, seguindo modelo que será fornecido pela ANPD; dispensa do dever de indicação do DPO (encarregado) apenas mantendo a necessidade de criação de um canal de comunicação entre os titulares. Aqui importante destacar que o regulamento deixa claro que mesmo com a dispensa de indicação de DPO, caso haja a indicação, será considerada política de boas práticas e governança pela ANPD. Além disso, estabelece forma simplificada de resposta ao incidente de segurança da informação, a ser regulamentada pela ANPD e a possibilidade de adoção de política simplificada de segurança da informação. O regulamento também estabelece alguns prazos diferenciados para o cumprimento de obrigações por parte dos agentes de tratamento de pequeno porte.

A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, tendo como base as circunstâncias relevantes da situação, como por exemplo, a natureza ou o volume das operações e os riscos para os titulares.

Estão excluídas da aplicação do regulamento as empresas que, mesmo tendo qualquer característica acima, realizem tratamento de alto risco para os titulares ou que obtenham receita bruta superior s R$ 360.000,00 por ano; e aquelas pertencimento a grupo econômico de fato ou de direito com receita global superior à R$ 360.000,00 por ano.

Mas como saber se efetivamente a empresa trata dados de alto risco? É necessário ter a combinação de critérios estabelecidos no próprio regulamente. Há dois tipos de critérios, os gerais e os específicos. Os gerais são: a) quando ocorrer tratamento de dados pessoais em larga escala, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como duração, frequência e extensão geográfica do tratamento realizado; b) ou quando ocorrer  tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizado, entre outras situações, por atividade de tratamento que possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Como critérios específicos, o regulamento estabelece: a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou aspectos da personalidade do titular; ou d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes ou idosos.

Portanto, necessário a cuidadosa análise por profissionais capacitados, já que uma análise feita de forma equivocada poderá gerar risos para a empresa.  

Share

Ao visitar nosso site, registramos dados como frequência de uso, data e hora de acesso, quando você vê ou clica em um conteúdo específico e suas preferências de conteúdo. We are committed to protecting your privacy and ensuring your data is handled in compliance with the General Data Protection Regulation (GDPR).
Ok, eu aceito Politica de privacidade