Nova resolução da ANPD regulamenta LGPD para agentes de tratamento de pequeno porte

Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte

A resolução CD/ANPD Nº2, foi publicada no Diário Oficial da União em janeiro de 2022, e dispõe sobre a aplicação da Lei Geral de Proteção de Dados (“LGPD”) – Lei nº 13.709/18, que estabelece condições com um tratamento diferenciado, visando flexibilizar e facilitar a LGPD para as empresas que se enquadram nas novas diretivas.

A Autoridade Nacional de Proteção de Dados (ANPD) estabelece os termos que estão previstos na normatização entre as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, pessoas naturais e entes privados despersonalizados (ou seja, que não formalizaram uma empresa) que utilizem o tratamento de dados pessoais, conforme preceitua o artigo 2º da norma.

Ao falarmos de empresas pequenas, estamos referindo – se às empresas com receita bruta igual ou inferior a R$ 4.800.000,00 e para os startups o teto é de R$ 16.000.000,00.

Apesar disso, o regulamento faz ressalvas às exceções, no disposto art. 3º do Regulamento, destacando os agentes que não poderão se beneficiar da respectiva norma, ficando excluídos dessa flexibilização os agentes de tratamento de pequeno porte que sejam:

  • Empresas que realizam tratamentos de alto risco para os titulares. Para saber se sua empresa realiza ou não alto risco, será necessário avaliar se ela atende cumulativamente um critério geral mais um critério específico dentro da resolução, ou seja, precisará analisar as duas listas de critérios que o regulamento trouxe e ver se a empresa estará ou não naquele contexto estabelecido.
  • Empresas que possuírem receita bruta superior ao limite estabelecido pelo Marco Legal das Startups 16 milhões de reais por ano, ou pelo Estatuto Nacional de Microempresa e da Empresa de Pequeno porte 4,8 milhões de reais por ano.
  • Empresas que pertençam a grupo econômicos de fato ou de direito, com receita global que ultrapasse os limites citados no tópico anterior.

Como critério geral tem- se o tratamento de dados pessoais em larga escala, caracterizado pelo volume de dados envolvidos, a duração do tratamento, a frequência e a extensão geográfica do tratamento realizado.

 Inclui também o tratamento que afete os dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, fica bem definido a questão dos direitos fundamentais, conforme previsto no art. 5º da Constituição Federal que dentre eles está a privacidade, a liberdade, a igualdade e a segurança. Por essa razão, o regulamento é específico, e isso ocorre quando o tratamento de dados em questão possa a vir a impedir o exercício de direito ou a utilização de um serviço, ocasionando danos morais e danos matérias, como por exemplo a discriminação, violação à integridade física, fraudes financeiras ou roubo de identidade.

No que tange a lista de critérios específicos para os tratamentos de alto risco temos quatro itens: a) Uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamentos de dados pessoais; d) utilização de dados pessoais sensíveis ou de dados pessoas de crianças, de adolescentes e de idosos. Desse modo, as empresas que se elencarem nas respectivas exceções e possuírem tratamentos de alto risco, não estão nos parâmetros da resolução CD/ANPD Nº2.

Posto isso, nos critérios do regulamento da ANPD, atribui- se aos agentes de pequeno porte as seguintes obrigações diferenciadas:

Sobre os registros das operações de tratamento, poderá ser feito de forma simplificada e ainda vai fornecer um modelo, sendo que hoje no Brasil ainda não existe modelo oficial deste documento, mesmo na forma simplificada ou não simplificada. Dispensa de fornecimento de declaração completa, a resolução dispensa que os agentes de pequeno porte apresentem a declaração completa de dados pessoas, cujo conteúdo mínimo ainda não foi definido.

Atendimento e informações por meio eletrônico ou impresso, de modo que ficará a critério do agente de tratamento a escolha entre realizar o atendimento aos titulares por meio eletrônico ou impresso. Na LGPD, essa escolha é referente ao titular dos dados, devendo a empresa estar preparada nos dois tipos de atendimento.

Essas empresas estão dispensadas de indicar o Encarregado, porém, isso não significa que elas não devem estar adequadas aos requisitos da Lei, ou seja, elas devem passar pelo processo de adequação e cada empresa irá fazer isso de acordo com a sua possibilidade e estrutura, a minuta da ANPD determina que seja disponibilizado um canal de comunicação com o titular.

Destaca – se os prazos em dobro, que a proposta de resolução inclui, terão em dobro no atendimento das solicitações dos titulares de dados, porém, o prazo em dobro é estendido nas situações pontuais elencadas na resolução.

Por fim, o regulamento apresenta em seu último art. 16 que a ANPD poderá determinar aos agentes de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas, considerando as circunstâncias relevantes da situação, tais como a natureza e o volume das operações, bem como os riscos envolvidos para os titulares de dados.

Importante ressaltar que, as obrigações dispostas neste regulamento, não são isentas aos agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, pois todas as obrigações legais da Lei nº 13.709/18, como os princípios, bases legais e os direitos dos titulares continuam valendo. Nesse sentido, o Regulamento prevê apenas certas flexibilizações da LGPD aplicáveis a esses agentes, de modo a facilitar a implementação das políticas necessárias para o tratamento de dados pessoais dos indivíduos com os quais se relacionam.Conclui – se que a proteção de dados é um direito fundamental e por esse motivo é tão importante os avanços que a LGPD trouxe para promover o uso de dados de uma maneira mais segura para os usuários, a dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes, entretanto, do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais, dos princípios e de outras disposições relativas à proteção de dados pessoais. Sendo assim, é perceptível que o Regulamento nos traz uma possibilidade de elaboração mais simples e objetiva, e que todas as empresas devem se adequar.

Por: Alice Queiroz, Estagiária em Gonçalves e Bruno Sociedade de Advogados – GBSA, graduanda em Direito pela Faculdades Metropolitanas Unidas (FMU).

Referências Bibliográficas:

[1] https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 – Acesso em 10/03/2022

[2] https://www.conjur.com.br/2022-jan-28/anpd-regulamenta-aplicacao-lgpd-empresas-pequeno-porte – Acesso em 10/03/2022

Compartilhe: