No dia 27 de janeiro de 2022, a ANPD, com base nas competências previstas no art. 55-J, inciso XVIII, da LGPD, editou a Resolução CD/ANPD Nº2 que tutela o tratamento de dados pessoais para agentes de pequeno porte.
Vejamos as principais mudanças:
DO CABIMENTO
Para quem é direcionado o tratamento jurídico diferenciado:
Essa resolução aplica-se a microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos e o empresário a que se refere o art. 966, do Código Civil.
Não poderão se beneficiar do tratamento jurídico diferenciado:
Os agentes que realizem tratamento de dados pessoais de alto risco aos titulares e aqueles que aufiram receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) no ano. Pertençam ao grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites de R$ 4.800.000,00 (quatro milhões e oitocentos mil reais).
DA COMPROVAÇÃO
A ANPD pode solicitar a empresa de pequeno porte comprovar que se enquadra nas condições estabelecidas no art. 2º e 3º da Resolução em até quinze dias.
O tratamento jurídico diferenciado pela ANPD para os agentes de tratamento de pequeno porte não os isenta da obrigação de se adequar à LGPD.
DA OBSERVÂNCIA AOS DIREITOS DOS TITULARES
As empresas de pequeno porte devem observar os direitos dos titulares já previstos no art. 9 e 18 da LGPD.
É obrigatório a elaboração e manutenção dos registros das operações e tratamento de dados pessoais, conforme previsto no art. 37 da LGPD. A ANPD fornecerá o modelo para o registro de atividade de tratamento simplificado.
DO ENCARREGADO DE DADOS
Os agentes de tratamento de pequeno porte não são obrigados a indicar um encarregado de dados (DPO) como exige o art. 41 da LGPD, entretanto, o agente que não indicar um encarregado deve disponibilizar um canal de comunicação para atender os requisitos do art. 41 da LGPD.
A empresa de pequeno porte que indicar um encarregado de dados (DPO) será considerada política de boas práticas e governança, atendendo o disposto no art. 52, § 1º, IX da LGPD.
DA SEGURANÇA DA INFORMAÇÃO
Os agentes de tratamento de pequeno porte devem implementar medidas administrativas e técnicas, observando seus requisitos mínimos de Segurança da Informação para garantir a proteção de dados de seus titulares.
DOS PRAZOS
As empresas de pequeno e médio porte terão prazo em dobro para atender as solicitações dos titulares e para comunicar incidentes à ANPD e aos titulares.
CONCLUSÃO
A ANPD se posicionou de modo a facilicitar a adequação para pequenas empresas, mas não significa que estas estão desobrigadas.
É razoavél tais ponderações, visto que a LGPD não pode ser aplicada em sua totalidade numa empresa de pequeno porte, entretanto, faz-se necessário observar os requisitos e aplicá-los, nem que seja de maneira mais simplificada.
Escrito por:
Rafael Luiz – Advogado
Especialista em Lei Geral de Proteção de Dados – DPO pela EXIN
Pós-Graduando em Direito Digital e Compliance – DAMASIO EDUCACIONAL
Formado pela FACULDADE AUTÔNOMA DE DIREITO – FADISP
Pós-Graduado em Gestão e Tecnologia em Segurança da Informação – FACULDADE IMPACTA TECNOLOGIA
Graduado em Tecnologia em Redes de Computadores – FACULDADE IMPACTA TECNOLOGIA