PROTEÇÃO DE DADOS, LGPD E AS NOVAS REGRAS PARA AGENTES DE PEQUENO PORTE
Você muito provavelmente acompanhou na mídia que, em 27 de janeiro desse ano, a ANPD[1] publicou texto normativo que regulamenta a LGPD naquilo relativo aos agentes de tratamento de pequeno porte (Resolução CD/ANPD nº. 2[2]). Diante da novidade, o escritório Zacarella Advogados sumarizou alguns aspectos para ajudar em respectiva compreensão e implementação ao seu negócio.
Antes disso, entenda:
- Se você é um “agente de tratamento de pequeno porte”[3], uma “microempresa”, uma “empresa de pequeno porte” ou uma “startup”, esse texto é para você (!)
- Se você não é um desses agentes, mas contrata serviços de empresas com esse perfil (seus fornecedores), esse texto é para você (!)
- Agora, se você não é um desses agentes, não possui tais fornecedores, mas contém clientes com respectivo perfil, esse texto TAMBÉM é para você (!)
Muito se discutiu sobre o rigor da LGPD, bem como sobre as dificuldades enfrentadas por aqueles agentes de tratamento com menos recursos, menor acesso às novas tecnologias e eventual exposição de titulares de dados a riscos que – segundo a opinião de alguns especialistas – poderiam ser classificados como de pequeno impacto. Essas considerações foram analisadas pela ANPD que, pelo novo regulamento, dispensou ou flexibilizou algumas das regras da legislação geral para os atores de pequeno porte[4]. Ante o exposto, a seguir, destacamos que tais agentes:
· Em atenção aos direitos dos titulares de dados pessoais previstos na LGPD, deverão disponibilizar respectivas informações e atender às suas solicitações por meio eletrônico, impresso ou qualquer outro que possibilite o acesso e o exercício de direitos de modo facilitado[5];
· Poderão se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou naturais para responder a eventuais reclamações administras ou judiciais[6];
· Não serão obrigados a indicar um encarregado pelo tratamento de dados pessoais (o famoso “DPO”), porém, se assim proceder, deverão disponibilizar um canal de comunicação com os titulares de dados.
o Por outro lado, frisamos: caso os agentes optem por nomear respectivo ator, isso será considerado “boas práticas e governança” - o que, atenção (!), poderá impactar positivamente nas hipóteses de eventual sanção administrativa ou responsabilização cível[7];
· Respeitarão prazos diferenciados[8]:
o Será concedido prazo em dobro (a) no atendimento das solicitações dos titulares de dados pessoais, e (b) na comunicação com a ANPD e ao titular em face de incidente de segurança relevante (salvo exceção legal), no fornecimento de “informação clara e completa”; e
o O prazo de até quinze dias, em declaração simplificada, para atendimento à requisição de confirmação de existência ou acesso aos dados pessoais, por respectivo titular; e
· A elaboração e a manutenção do registro das atividades de tratamento de dados poderão ser realizadas de forma simplificada, por modelo será disponibilizado pela ANPD[9];
o A política de segurança da informação também poderá ser estruturada de forma simplificada, desde que contemple requisitos mínimos e necessários para o tratamento seguro dos dados pessoais[10].
Apesar do cenário acima, atente-se: a ANPD, pelo próprio texto normativo[11], se resguarda ao direito de desconsiderar as dispensas e flexibilizações quando perante circunstâncias relevantes como a natureza ou o volume das operações, e os riscos para os titulares de dados. Além disso, ainda que se trate de agente de pequeno porte, restam excluídos do alcance da resolução aqueles que[12]:
· Realizam tratamento de alto risco[13];
· Aufiram receita bruta superior a R$ 4.800.000,00, caso seja empresa de pequeno porte; ou
Recomendados pelo LinkedIn
· Pertençam a grupo econômico cuja receita global ultrapasse o valor de R$ 16.000.000,00 – ou de R$ 1.333.334,00, multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses - se for uma startup.
Por fim, cabe destacar que, quando solicitado pela ANPD, caberá ao agente de tratamento comprovar que se enquadra no perfil de pequeno porte, respeitando-se o prazo de 15 dias[14].
Autora: Erica Brito Bakonyi
E agora, ficou mais claro? Para maiores esclarecimentos, permanecemos à disposição por meio do contato@zacarellaadvogados.com.br ou telefone: (11) 93802-6040.
[1] Autoridade Nacional de Proteção de Dados (canal de comunicação disponível em: https://www.gov.br/anpd/pt-br).
[2] Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
[3] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 2º, inciso I: “agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;”.
[4] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 2º.
[5] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 7º.
[6] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 8º.
[7] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 11.
[8] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigos 14 e 15.
[9] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 9º.
[10] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 13.
[11] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 16.
[12] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 3º.
[13] A Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, no artigo 4º, define atividade de alto risco como: ”o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados: I - critérios gerais: a) tratamento de dados pessoais em larga escala; ou b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares; II - critérios específicos: a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos. § 1º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. § 2º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade”.
[14] Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022, artigo 5º.