ANPD publica Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte
Hoje, dia 28 de janeiro, é celebrado mundialmente, o dia internacional da proteção de dados. São várias iniciativas no sentido de promover a conscientização dos cidadãos quanto à necessidade do pleno exercício do controle sobre seus dados, bem como quanto à proteção dos seus dados.
Aproveitando o ensejo da data, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou hoje a RESOLUÇÃO CD/ANPD Nº 2 que aprova o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
A QUEM SE APLICA
Em linhas gerais, o Regulamento se aplica a microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
EXCEÇÕES
Entretanto, segundo o regulamento, não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que:
I – realizem tratamento de alto risco para os titulares,
II – aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
III – pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.
TRATAMENTO DE ALTO RISCO
O regulamento traz critérios gerais e específicos para verificar o enquadramento ou não no tratamento diferenciado disposto na norma.
TRATAMENTO DIFERENCIADO
O regulamento dispensa e flexibiliza o cumprimento de algumas obrigações contidas na LGPD. Porém, a dispensa ou flexibilização das obrigações não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
ANPD fornecerá modelo para o registro simplificado para o atendimento do Registro das Atividades de Tratamento De Dados, bem como flexibilização ou procedimento simplificado de comunicação de incidente de segurança.
O regulamento dispensa os agentes de tratamento de pequeno porte da obrigação de indicar o encarregado pelo tratamento de dados pessoais, porém sua indicação será considerada uma boa prática para fins de mitigação de eventual sanção administrativa.
Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Os agentes de tratamento de pequeno porte terão prazos em dobro para atendimento das solicitações dos titulares, bem como para a comunicação à ANPD de incidentes de segurança.
Por fim, o Regulamento adverte que a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.