Flexibilização para Agentes de Tratamento de Pequeno Porte

Como saber se sua empresa se enquadra?

Publicado em 27 de janeiro de 2022, o regulamento aprovado pela Autoridade Nacional de Proteção de Dados (“ANPD”), em sua competência para editar regulamentos sobre proteção de dados pessoais e privacidade, apresentou a aplicação da Lei Geral de Proteção de Dados – Lei 13.709/18 (“LGPD”) para os agentes de pequeno porte, permitindo várias flexibilizações.

Antes de aprofundar nas flexibilizações é muito importante entender o conceito de agentes de tratamento que a LGPD apresenta em seu artigo 5ª, inciso IX, quando define agentes de tratamento como “o controlador e o operador”, ou seja, aqueles que são atribuídos as responsabilidades e obrigações diante do tratamento de dados pessoais. Quando tratamos de Controlador, estamos dizendo sobre a “pessoa natural ou jurídica que compete as decisões sobre o tratamento de dados pessoais” e considera como Operador, a “pessoa natural ou jurídica que realiza o tratamento de dados pessoais a pedido do Controlador”.

Outra definição importante é a de “empresa de pequeno porte”. O regulamento considera como pequeno porte as “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes despersonalizados”. Dentre essa definição podemos incluir: Condomínios, igrejas, associações, empresas sem fins lucrativos, profissionais liberais, profissionais autônomos, MEI, sociedade limitada unipessoal e outros.

Superado as principais definições, será preciso entender que para as empresas que se enquadram na definição de “pequeno porte” ainda haverá exclusões, ou seja, não poderão se beneficiar dessas flexibilizações as empresas que realizam tratamento de alto risco; que alcance receita bruta superior aos limites estabelecidos; ou que pertença ao um grupo econômico, que juntos alcance uma receita bruta superior aos limites estabelecidos.

Quando o Regulamento apresenta o termo “Alto risco”, ele quer dizer que são os tratamentos que cumulativamente apresentam um critério geral e um critério específico. Os critérios gerais são: (I) tratamento em larga escala e (II) tratamento que possa afetar direitos e interesses dos titulares. Quanto aos critérios específicos temos: (I) uso de tecnologia emergente e inovadoras; (II) vigilância e controle de zonas públicas; (III) decisões automatizadas; e (IV) utilização de dados sensíveis ou dados de crianças, adolescente e idosos.

E ainda, quanto a exclusão por receita bruta superior, temos como limite de R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) para todas as empresas enquadradas, exceto para as startups, que o limite estabelecido para a receita bruta é de R$ 16.000.000,00 (dezesseis milhões de reais).  

Deste modo, para as empresas que poderão usufruir das flexibilizações trazidas pelo regulamento, estão os benefícios como: (I) mapeamento simplificado; (II) atendimento ao titular por meio eletrônico, impresso ou qualquer outro que garanta acesso facilitado; (III) prazos em dobro; (IV) desobrigação de nomeação do Encarregado; e (V) comunicado de incidente de segurança simplificado.

Porém, cabe destacar, que embora tenha muitos benefícios, algumas obrigações permanecem como: (I) adoção de medidas técnicas e administrativas, com base nos requisitos mínimos de segurança da informação; (II) criação de um canal de comunicação para atendimento as solicitações dos titulares de dados, quando não contar com a nomeação de um Encarregado; (III) mapeamento do ciclo de vida do dado pessoal; e (IV) comunicação para a ANPD de incidentes de segurança.

Ao final, muito importante considerar que a ANPD tem autonomia para determinar o cumprimento das flexibilizações e desobrigações as empresas enquadradas neste regulamento, considerando o risco do tratamento para os titulares de dados pessoais. Além disso, caberá aos Agentes de Pequeno Porte comprovar, em até 15 (quinze) dias, que se enquadram neste regulamento, quando solicitado pela ANPD.

Fonte: Resolução CD/ANPD nº2, de 27 de janeiro e 2022.