ANPD aprova resolução sobre a aplicação da LGPD para agentes de pequeno porte
O novo regulamento traz flexibilizações e dispensas para os agentes que são considerados como de “pequeno porte”
O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), no exercício de suas competências normativas, fiscalizatórias e sancionatórias, aprovou, em 27 de janeiro de 2022, a Resolução nº 2/2022, que visa regular a aplicabilidade das obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD) às atividades dos agentes de tratamento considerados de pequeno porte.
Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes privados despersonalizados podem se enquadrar no regime de tratamento diferenciado previsto na Resolução, desde que não realizem tratamento considerado de alto risco, nos termos dos critérios estabelecidos pela Resolução; não aufiram receita bruta superior ao limite de R$ 4.8M no ano-calendário, conforme limite estabelecido pelo art. 3º, inciso II da Lei Complementar nº 123/2006, ou, no caso de startups, R$ 16M no ano-calendário anterior ou de R$ 1.33M multiplicado pelo número de meses de atividade no ano-calendário anterior quando inferior a 12 meses, conforme limite estabelecido pelo art. 4º, § 1º, inciso I, da Lei Complementar nº 182/2021; ou não pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites citados anteriormente.
No caso específico das entidades sem fins lucrativos, a Resolução não apresenta uma definição clara de tais entidades, como faz em relação às microempresas, às empresas de pequeno porte e às startups, o que pode gerar dúvidas acerca de quais entidades sem fins lucrativos poderiam se beneficiar do tratamento previsto na Resolução. Ainda, contribui para o cenário de incerteza o fato que grande parte das entidades sem fins lucrativos, em especial as entidades filantrópicas atuantes nas áreas da saúde, educação e assistência social, realizam o tratamento de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e de idosos, justamente um dos critérios previstos na Resolução para determinar um tratamento de dados considerado de alto risco.
De todo modo, para os agentes que possam usufruir do tratamento diferenciado, a Resolução apresenta flexibilizações e dispensas relevantes. Destacamos abaixo algumas disposições:
- É dispensada a indicação obrigatória de um encarregado pelo tratamento de dados pessoais, conforme exigido pela LGPD;
- A elaboração e manutenção de registro de operações de tratamento de dados pessoais pode ser realizada de forma simplificada, conforme modelo a ser disponibilizado pela ANPD;
- ANPD flexibilizará e/ou implementará procedimento simplificado de comunicação de incidente de segurança;
- Os agentes poderão se organizar em entidades de representação de atividade empresarial para negociar, mediar ou conciliar reclamações apresentadas por titulares de dados.
Além disso, a Resolução determina que os agentes de pequeno porte poderão usufruir de prazo em dobro em algumas circunstâncias, tais como no atendimento de direitos dos titulares; na comunicação de incidente de segurança à ANPD e ao titular dos dados (exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional), etc.
A dispensa ou flexibilização das obrigações não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD (incluindo bases legais, princípios e direitos do titular), de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais.
O regulamento foi publicado no Diário Oficial da União de 28 de janeiro de 2022 e pode ser acessado aqui.
Para mais informações sobre o tema, conheça as práticas de Proteção de Dados e Cybersecurity e de Organizações da sociedade civil, Negócios sociais e Direitos Humanos do Mattos Filho.