Em 27/01/2022 a Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou a Resolução CD/ANPD nº 2, que regulamenta a aplicação da Lei Geral de Proteção de Dados – Lei nº 13.709/18 (“LGPD”) para agentes de tratamento de pequeno porte.
A resolução tem por objetivo incentivar a adequação de empresas de menor porte, e garantir, assim, proteção aos titulares dos dados pessoais.
Destacamos a seguir, os principais destaques da Resolução.
Enquadramento
São considerados agentes de tratamento de pequeno porte:
- Pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador: enquadram-se nessa definição as associações, sociedades e fundações[1].
- Microempresas (ME): formato indicado para empresas de faturamento anual de até R$360 mil[2];
- Empresas de pequeno porte: enquadramento indicado para negócios que têm um faturamento anual entre R$360 mil e R$ 4,8 milhões;[3]
- Startups: de acordo com a lei, deverão atender aos seguintes requisitos: faturamento de até R$16 milhões; tempo de exercício de até 10 anos; e modelo de negócios sujeito ao Inova Simples, ou declaração, no ato constitutivo, de atuação como modelo de negócio inovador.[4]
Contudo, os agentes de tratamento de pequeno porte que não poderão se beneficiar da regulamentação, são aqueles que:
- Realizam tratamento dealto riscopara os titulares, salvo o caso das entidades de representação da atividade empresarial com fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
- Têm receita bruta superior a R$4.800.000,00 (quatro milhões e oitocentos mil reais). Para startups, receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) ao ano;
- Pertencem a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos anteriormente.
A propósito, será considerado tratamento de alto risco, o tratamento de dados pessoais que atender, cumulativamente, a pelo menos um critério geral e um critério específico:
Critérios gerais:
- Tratamento de dados pessoais realizado em larga escala (quando abranger número significativo de titulares, considerando-se: o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado);
- Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares (por exemplo, em atividade que impeça o exercício de direitos ou utilização de serviços, assim como, ocasione danos materiais ou morais aos titulares, tais como: discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).
Critérios específicos:
- Tratamento de dados pessoais realizado com o uso de tecnologias emergentes ou inovadoras;
- Tratamento de dados pessoais realizado com vigilância ou controle de zonas acessíveis ao público;
- Tratamento de dados pessoais com decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- Tratamento de dados pessoais com utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Pontos de flexibilização
A Resolução prevê os seguintes pontos de flexibilização aos agentes de pequeno porte que se enquadrem nos termos e condições da referida norma:
- Embora permaneça o dever de realizar o Registro de Atividades de Tratamento, este poderá ser feito de forma simplificada, para o qual a ANPD fornecerá modelo.
- Mantém-se o dever de comunicação sobre “Incidentes de Segurança”, contudo o procedimento será simplificado, conforme disposição da ANPD.
- Não são obrigados a indicar encarregado pelo tratamento de dados pessoais, contudo, deverão disponibilizar um canal de comunicação com o titular de dados para atendimento de reclamações e comunicações, prestação de esclarecimentos, e, adoção de providências. A opção pela indicação de encarregado será considerada política de boa prática e governança, critério aplicável a eventual procedimento administrativo sancionatório.
- Deverão adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais. Serão ainda considerados o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
- Poderão estabelecer política simplificada de segurança da informação, considerando os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
- Terão
prazo em dobro:
- Para atendimento das solicitações dos titulares e nos casos de comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Não terão direito ao prazo em dobro, contudo, quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
- Para emitir confirmação clara e completa de existência ou o acesso a dados pessoais, a pedido do titular;
- Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Lembrando que o artigo 6º da resolução é expresso ao destacar que as demais disposições da LGPD (Lei nº 13.709/18) serão aplicadas normalmente aos agentes de pequeno porte.
É notável que a ANPD tem buscado contribuições da sociedade por meio de Consultas Públicas, Tomada de Subsídios e Audiências Públicas para complementar a Legislação de Proteção de Dados no Brasil, de acordo com a realidade do país.
São reconhecidamente altos os custos para adequação à LGPD tendo em vista a baixa maturidade da cultura de proteção de dados pessoais no país, e, por outro lado, a alta carga regulatória da LGPD.
Assim, entendemos que a Resolução da ANPD vem para diminuir a carga
regulatória aos agentes de pequeno porte, considerando sua realidade, e
incentivar sua adequação à LGPD.
[1]De acordo com o Conselho Nacional do Ministério Público – CNMP, são Pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador: associações, sociedades e fundações. Iniciam sua personalidade jurídica com a inscrição do ato constitutivo no respectivo registro, precedida, quando necessário, de autorização do Poder Executivo. Ver artigo 44 e seguintes do Código Civil.
[2]Conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006 http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm
[3] Conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006 http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm
[4]Leia a informação completa no site do governo: https://www.gov.br/pt-br/noticias/financas-impostos-e-gestao-publica/2021/08/lei-complementar-que-estabelece-marco-legal-das-startups-entra-em-vigor-nesta-terca-feira-31