Facebook-f Instagram Youtube Linkedin
  • Entrar
ASSOCIE-SE

Resolução da ANPD flexibiliza a adequação à legislação de proteção de dados para agentes de pequeno porte

Por Suelen Hedissa Lucas Santos, da Dessimoni & Blanco Advogados

Em 27/01/2022 a Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou a Resolução CD/ANPD nº 2, que regulamenta a aplicação da Lei Geral de Proteção de Dados – Lei nº 13.709/18 (“LGPD”) para agentes de tratamento de pequeno porte.

A resolução tem por objetivo incentivar a adequação de empresas de menor porte, e garantir, assim, proteção aos titulares dos dados pessoais.

Destacamos a seguir, os principais destaques da Resolução.

Enquadramento

São considerados agentes de tratamento de pequeno porte:

  • Pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador: enquadram-se nessa definição as associações, sociedades e fundações[1].
  • Microempresas (ME): formato indicado para empresas de faturamento anual de até R$360 mil[2];
  • Empresas de pequeno porte: enquadramento indicado para negócios que têm um faturamento anual entre R$360 mil e R$ 4,8 milhões;[3]
  • Startups: de acordo com a lei, deverão atender aos seguintes requisitos: faturamento de até R$16 milhões; tempo de exercício de até 10 anos; e modelo de negócios sujeito ao Inova Simples, ou declaração, no ato constitutivo, de atuação como modelo de negócio inovador.[4]

Contudo, os agentes de tratamento de pequeno porte que não poderão se beneficiar da regulamentação, são aqueles que:

  • Realizam tratamento dealto riscopara os titulares, salvo o caso das entidades de representação da atividade empresarial com fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
  • Têm receita bruta superior a R$4.800.000,00 (quatro milhões e oitocentos mil reais). Para startups, receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) ao ano;
  • Pertencem a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos anteriormente.

A propósito, será considerado tratamento de alto risco, o tratamento de dados pessoais que atender, cumulativamente, a pelo menos um critério geral e um critério específico:

Critérios gerais:

  • Tratamento de dados pessoais realizado em larga escala (quando abranger número significativo de titulares, considerando-se: o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado);
  • Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares (por exemplo, em atividade que impeça o exercício de direitos ou utilização de serviços, assim como, ocasione danos materiais ou morais aos titulares, tais como: discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).

Critérios específicos:

  • Tratamento de dados pessoais realizado com o uso de tecnologias emergentes ou inovadoras;
  • Tratamento de dados pessoais realizado com vigilância ou controle de zonas acessíveis ao público;
  • Tratamento de dados pessoais com decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  • Tratamento de dados pessoais com utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Pontos de flexibilização

A Resolução prevê os seguintes pontos de flexibilização aos agentes de pequeno porte que se enquadrem nos termos e condições da referida norma:

  1. Embora permaneça o dever de realizar o Registro de Atividades de Tratamento, este poderá ser feito de forma simplificada, para o qual a ANPD fornecerá modelo.
  1. Mantém-se o dever de comunicação sobre “Incidentes de Segurança”, contudo o procedimento será simplificado, conforme disposição da ANPD.
  1. Não são obrigados a indicar encarregado pelo tratamento de dados pessoais, contudo, deverão disponibilizar um canal de comunicação com o titular de dados para atendimento de reclamações e comunicações, prestação de esclarecimentos, e, adoção de providências. A opção pela indicação de encarregado será considerada política de boa prática e governança, critério aplicável a eventual procedimento administrativo sancionatório.
  1. Deverão adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais. Serão ainda considerados o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
  1. Poderão estabelecer política simplificada de segurança da informação, considerando os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
  1. Terão prazo em dobro:
    1. Para atendimento das solicitações dos titulares e nos casos de comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Não terão direito ao prazo em dobro, contudo, quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
    2. Para emitir confirmação clara e completa de existência ou o acesso a dados pessoais, a pedido do titular;
    3. Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Lembrando que o artigo 6º da resolução é expresso ao destacar que as demais disposições da LGPD (Lei nº 13.709/18) serão aplicadas normalmente aos agentes de pequeno porte.

É notável que a ANPD tem buscado contribuições da sociedade por meio de Consultas Públicas, Tomada de Subsídios e Audiências Públicas para complementar a Legislação de Proteção de Dados no Brasil, de acordo com a realidade do país.

São reconhecidamente altos os custos para adequação à LGPD tendo em vista a baixa maturidade da cultura de proteção de dados pessoais no país, e, por outro lado, a alta carga regulatória da LGPD.

Assim, entendemos que a Resolução da ANPD vem para diminuir a carga regulatória aos agentes de pequeno porte, considerando sua realidade, e incentivar sua adequação à LGPD.

[1]De acordo com o Conselho Nacional do Ministério Público – CNMP, são Pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador: associações, sociedades e fundações. Iniciam sua personalidade jurídica com a inscrição do ato constitutivo no respectivo registro, precedida, quando necessário, de autorização do Poder Executivo. Ver artigo 44 e seguintes do Código Civil.

[2]Conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006 http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm

[3] Conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006 http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm

[4]Leia a informação completa no site do governo: https://www.gov.br/pt-br/noticias/financas-impostos-e-gestao-publica/2021/08/lei-complementar-que-estabelece-marco-legal-das-startups-entra-em-vigor-nesta-terca-feira-31

The post Resolução da ANPD flexibiliza a adequação à legislação de proteção de dados para agentes de pequeno porte appeared first on Distribuição.

Share on facebook
Share on whatsapp
Share on telegram
Share on twitter
Share on linkedin
Share on email
  • Av. Governador Magalhães Barata, 651, Sala 08. Ed. Belém Office Center - São Braz, Belém
  • (91) 3259-0597
Facebook Instagram Youtube Linkedin