25 Out Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte está em vigor
Por Fabio Vieira, Eduarda Mourad e Jhonata Candido
Desde o dia 28.1.2022, data de sua publicação no Diário Oficial da União, a Resolução CD/ANPD nº 2, que aprova o Regulamento de aplicação da Lei Geral de Proteção de Dados (“LGPD”) para agentes de tratamento de pequeno porte (“Regulamento”), está em vigor.
O Regulamento se aplica às microempresas e empresas de pequeno porte, startups e pessoas jurídicas de direito privado, nos termos da legislação aplicável, inclusive as empresas sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Para uma pessoa jurídica de direito privado se enquadrar como de pequeno porte ou microempresa, esta pessoa jurídica de direito privado deverá ter a receita bruta anual igual ou inferior a R$ 244.000,00, para ser considerada microempresa e, obter a receita bruta anual superior a R$ 244.000,00 e igual ou inferior a R$ 1.200.000,00, para ser considerada empresa de pequeno porte, nos termos do artigo 2º lei nº 9.841/1999. Nestes termos, caberá aos agentes de tratamento comprovarem o enquadramento em uma dessas categorias se assim solicitado pela Autoridade Nacional de Proteção de Dados (“ANPD”).
No entanto, mesmo correspondendo a algum destes perfis, os agentes de tratamento de pequeno porte que: (i) realizem tratamento de alto risco, conforme definido no artigo 4º do Regulamento, para os titulares de dados; (ii) aufiram receita bruta superior ao limite estabelecido por lei; ou (iii) pertençam a grupo econômico de fato ou de direito com receita global superior à prevista por lei, não poderão se beneficiar do tratamento jurídico diferenciado previsto pelo Regulamento.
Tendo em vista a necessidade de adequação à LGPD por todos os agentes de tratamento e seu alto custo, algo inviável para os agentes de pequeno porte, o Regulamento prevê ainda a flexibilização e a dispensa de algumas obrigações, que incluem:
I. O registro das operações de tratamento de dados pessoais poderá ser feito de forma simplificada, cujo modelo será fornecido pela ANPD;
II. O procedimento simplificado para comunicação de incidentes de segurança – a ANPD publicará regulamentação específica sobre o tema;
III. A não obrigatoriedade de indicação de encarregado pelo tratamento de dados pessoais (“DPO”) – caso opte pela não indicação, o agente de pequeno porte deverá disponibilizar um canal de comunicação com o titular para atendê-lo;
IV. A simplificação da Política de Segurança da Informação somente com os itens essenciais e necessários para a proteção de dados pessoais;
V. A concessão de prazo em dobro para: o atendimento das solicitações dos titulares, a comunicação à ANPD e ao titular da ocorrência de incidente de segurança (exceto quando houver comprometimento à integridade física ou moral dos titulares ou à segurança nacional).
Apesar dessa flexibilização, a ANPD ressalta, ainda, que o disposto no Regulamento não dispensa os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de disposições legais regulamentares e contratuais relativas à proteção de dados pessoais e aos direitos do titular.
O Regulamento representa um grande marco para os agentes de tratamento de pequeno porte e, com isso espera-se que a adequação e o cumprimento das normas previstas na LGPD, atualmente em níveis abaixo do desejado, cresçam cada vez mais.
O Regulamento pode ser conferido, na íntegra, aqui.
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener & Vieira Advogados.
Sem comentários