Desde o surgimento do texto base para a Lei nº 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), um assunto sempre veio à tona no meio empresarial: a LGPD, de fato, será cobrada da mesma forma independente do tamanho de seu empreendimento?
Muito disso se deu pelo fato do escopo da lei trazer apenas um conceito amplo de sua aplicação, uma vez que, logo em seu art. 1º é tido que esta recairia “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado”. Por isso, esperava-se que com a criação da Autoridade Nacional de Proteção de Dados (ANPD), esta situação fosse regulamentada, o que veio a acontecer através da Resolução CD/ANPD nº 2, publicada em 28 de janeiro de 2022, instrumento este que trouxe certa flexibilização e exoneração das obrigações dos agentes de tratamentos de pequeno porte.
Para tanto, a referida resolução trouxe um rol taxativo nos incisos de seu art. 2º de definições importantes para a aplicação da mesma, entre elas: foram considerados como agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, que assumam obrigações típicas de controlador ou de operador.
A resolução tratou de limitar algumas situações em que, mesmo que seja um agente de tratamento de pequeno porte, este regulamento não os beneficiaria, dentre eles: aqueles que realizarem tratamento de alto risco para os titulares de dados; aufiram receita bruta anual superior a R$ 360 mil reais para empresas de pequeno porte e R$ 16 milhões para startups; ou que pertençam a grupos econômicos (de fato ou de direito), que tenham receita global que ultrapasse os limites já mencionados.
Para elucidação do tratamento de alto risco, a referida resolução positivou os seus critérios, dividindo-os em gerais, que pode ser caracterizado pelo tratamento de dados pessoais em larga escala ou que possa impactar significativamente os interesses e direitos fundamentais dos titulares, e em específicos, identificados pelo uso de tecnologias emergentes ou inovadoras, pela vigilância ou pelo controle de zonas acessíveis ao público, que sejam utilizadas para definição de perfil pessoal ou que utilizem dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.
Além destas definições, é mencionado que só será considerado como tal se a operação atender cumulativamente a pelos menos um critério de cada espécie, valendo ressaltar que os dados pessoais sensíveis são todos aqueles dados pessoais que possam ser utilizados para fins de discriminação do titular (religiosidade, orientação sexual, tons de pele, espectro político, entre outros).
Deste regulamento, destacamos as seguintes dispensas e flexibilizações das obrigações dos agentes de tratamento de pequeno porte, que sejam:
- A elaboração e a manutenção de forma simplificada do Registro de Operações de Tratamento, seguindo o padrão que será disponibilizado pela própria ANPD;
- Simplificação ou flexibilização do procedimento de comunicação de incidente de segurança, de acordo com nova regulamentação que haverá por parte da ANPD;
- Dispensada a indicação do Data Protection Officer (DPO – ou encarregado de dados em português), contudo, para isso ser possível, deverá o agente de tratamento de dados dispor de canal de comunicação com o titular de dados. Ainda, se o agente decidir pela indicação do DPO, tal prática será considerada política de boas práticas e governanças pela ANPD;
- Possibilidade de simplificação no estabelecimento da Política de Segurança da Informação, desde que contenha requisitos essenciais e necessários para o tratamento de dados pessoais com o fito de proteção destes contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração ou qualquer outra maneira inadequada ou ilícita; e
- Prazo diferenciado (em dobro) para atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais e para a comunicação à ANPD e ao titular quando da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A todo instante, o dispositivo legal trata de abordar de que estes agentes de tratamento de pequeno porte deverão, ainda assim, cumprir com as demais disposições trazidas na LGPD, tanto em suas bases legais como em seus princípios, além de observar sempre outras disposições legais, regulamentações que tenham relação com à proteção à privacidade dos dados pessoais.
Por fim, a ANPD trouxe a possibilidade de determinação de que estes agentes cumpram com as obrigações as quais foram dispensadas e/ou flexibilizadas, tendo em vista as circunstâncias relevantes de cada situação, assim como pela natureza do tratamento ou o volume de operações, até mesmo o potencial risco aos titulares dos dados. Se você é um agente de tratamento de pequeno porte e quer saber como podemos contribuir para a segurança dos titulares de dados que estão envolvidos em suas operações, entre em contato conosco.