LGPD para Agentes de Tratamento de Pequeno Porte (Micro e Pequenas Empresas)

Você que possui um uma microempresa, uma empresa de pequeno porte – EPP ou até mesmo uma StartUp, já deve ter visto e/ou ouvido o termo  LGPD, certo? Mas você sabe o que ela significa e os impactos que ela trará a sua empresa?

Aplicar a LGPD pode ser um grande desafio, principalmente para as microempresas e empresas de pequeno porte, e é muito importante que as empresas estejam conscientes e preparadas, pois já existe regulamentação específica, a RESOLUÇÃO CD/ANPD nº 2/ 2022, que trouxe as seguintes “flexibilizações”:

1) Simplificação do Registro de Operações de Tratamento (Inventário), de modo que a ANPD fornecerá modelo simplificado;

2) Procedimento simplificado de comunicação de incidentes de segurança, que contará com regulamentação específica a ser publicada pela ANPD;

3) Dispensa da obrigatoriedade de nomeação do Encarregado (Data Protection Officer ou DPO), devendo manter apenas canal de comunicação para o exercício dos direitos dos titulares. No entanto, caso o agente de pequeno porte opte pela nomeação do DPO, a indicação será considerada boa prática de governança pela ANPD;

4) Possibilidade de simplificação da Política de Segurança da Informação, contendo apenas os itens essenciais para a proteção de dados pessoais contra incidentes ou violações; e

5) Prazo em dobro para resposta às requisições dos titulares de dados e realização de comunicações em caso de incidentes de segurança, observada a regulamentação própria a ser publicada sobre o tema pela ANPD.

Salienta-se, porém, que “a dispensa ou a flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares”.

Salienta-se, porém, que “a dispensa ou a flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares”.

Outrossim, a regulação traz exceções aos benefícios da Resolução da ANPD , vejamos:

(i) realização de tratamento de alto risco para os titulares, segundo a cumulação dos parâmetros previstos no artigo 4º;

(II) obtenção de receita bruta superior ao limite previsto na Lei Complementar nº 123/2006 ou na Lei Complementar nº 182/2021; e

(III) pertencimento a grupo econômico de fato ou de direito com receita global superior à prevista na Lei Complementar nº 123/2006 ou na Lei Complementar nº 182/2021.

A ANPD concede atenção para a proteção dos direitos e das liberdades dos titulares como balizadora das flexibilizações e dispensas previstas. Agentes que tratam dados com alto risco aos titulares, contendo combinação de critérios previstos nos incisos I e II do dispositivo, não podem ser beneficiados pela regulamentação. Esses critérios estão divididos em duas classificações: gerais e específicos.

Os gerais são os seguintes:

– tratamento de dados pessoais em larga escala, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como duração, frequência e extensão geográfica do tratamento realizado; ou

– tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizado, entre outras situações, por atividade de tratamento que possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já os específicos são:

– uso de tecnologias emergentes ou inovadoras;

– vigilância ou controle de zonas acessíveis ao público;

– decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou aspectos da personalidade do titular; ou

– utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes ou idosos.

Ficou alguma dúvida? Entre em contato conosco.

Quer saber mais sobre a Lei Geral de Proteção de Dados? 

Continue acompanhando nosso blog da Machado Guedes Advogados Associados para mais conteúdos informativos relacionados a Direito!