Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 2/2022 (“Resolução”), que dispõe sobre regulamentação simplificada da Lei Geral de Proteção de Dados (LGPD) para agentes de pequeno porte que tratem dados pessoais.
Primeiramente, vamos entender quais são os agentes de pequeno porte definidos pela Resolução:
• Microempresas;
• Empresas de pequeno porte;
• Startups;
• Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente;
• Pessoas naturais;
• Entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Isso significa que todos os agentes de tratamento de pequeno porte terão tratamento diferenciado, ou seja, farão jus à regulamentação simplificada?
NÃO.
O procedimento simplificado, trazido pela Resolução, NÃO SERÁ APLICÁVEL aos agentes de pequeno porte que:
• Tenham receita bruta superior aos limites previstos na Lei Complementar 123/2006, quais sejam: microempresas, legalmente definidas como aquelas com receita anual bruta igual ou inferior a R$ 360.000,00 (trezentos e sessenta mil reais), e empresas de pequeno porte, que possuem o limite de receita bruta anual de R$360.000,00 (trezentos e sessenta mil reais) até R$ 4.800.000,00 (quatro milhões e oitocentos mil reais);
• Para as startups que excedam o limite de receita bruta a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior, ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, disposto na Lei Complementar nº 182/2021.
• Possuam atividade de tratamento de dados pessoais que impliquem em ALTO RISCO para os titulares de dados.
Em linhas gerais, um tratamento de ALTO RISCO deve possuir cumulativamente ao menos um critério geral e um critério específico, os quais são apontados pela Resolução. São eles:
Critérios gerais:
a) tratamento de dados pessoais em larga escala; ou,
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou,
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Definir os riscos de uma atividade de tratamento de dados não é exatamente uma tarefa simples, e requer, na maioria das vezes, um mapeamento de dados pessoais realizado por profissionais especializados, a fim de abarcar os pontos de maior atenção e identificar como se dão os fluxos de dados pessoais dentro da organização.
Para a Resolução, por exemplo, o tratamento de dados pessoais em larga escala é caracterizado quando envolver um número significativo de titulares, considerando-se, ainda, o volume de dados pessoais envolvidos, sua duração, frequência e a extensão geográfica do tratamento realizado.
E quais serão as obrigações aplicáveis aos agentes de pequeno porte? Em primeiro lugar, cabe mencionar que, apesar de possuírem obrigações mais suavizadas que outros agentes de tratamento de dados, os agentes de pequeno porte também estão sujeitos à LGPD, devendo observar as bases legais e princípios em suas operações de tratamento, sem prejuízo de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais. O que ocorrerá é a flexibilização de certas regras existentes na LGPD, conforme descrito na síntese abaixo.
Em síntese, o procedimento simplificado confere aos agentes de pequeno porte:
• Possibilidade de estabelecer política de segurança da informação mais simples, levando sempre em consideração os custos de implementação, estrutura, escala e o volume das operações da empresa, em atenção ao princípio da responsabilização e prestação de contas, a que será analisado em eventual procedimento de fiscalização da ANPD.
• Possibilidade de não indicar um Encarregado de tratamento de dados pessoais, sem prejuízo da obrigação de disponibilizar um canal de comunicação com o titular de dados;
• Direito de contar com prazo em dobro para o atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais e nas suas comunicações à ANPD (conforme regulamentação futura), bem como para informar aos titulares da ocorrência de incidente de segurança que lhes possam acarretar risco ou dano relevante. Esse direito não se aplica no caso de o incidente possuir potencial de comprometer a integridade física ou moral dos titulares ou a segurança nacional. A forma como se realizará as comunicações de incidente de segurança ainda será regulamentada pela ANPD.
Os agentes de tratamento de pequeno porte estão dispensados de disponibilizar informações sobre o tratamento de dados pessoais aos titulares de dados?
Não. Todos os direitos dos titulares previstos na LGPD deverão ser observados, especialmente o que se refere ao acesso facilitado às informações sobre o tratamento de seus dados. Dessa forma, os agentes de pequeno porte precisam disponibilizar aos titulares informações sobre como realizam o tratamento de dados pessoais, por meio de uma política de privacidade, por exemplo. As informações devem estar disponíveis em meio eletrônico ou impressas ou devem ser veiculadas de qualquer outra maneira que assegure aos titulares exercerem os direitos previstos na LGPD de forma facilitada.
Por fim, é importante ressaltar que os agentes de tratamento de pequeno porte deverão, ainda, manter um registro das atividades de tratamento, cujo modelo será disponibilizado pela ANPD futuramente.
Confira a Resolução nº 02, de 27 de janeiro de 2022 na íntegra:
https://in.gov.br/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019.
Por Bruna Rosária Delfino de Abreu e Carolina Mendonça de Barros.
