REGULAMENTO DE APLICAÇÃO DA LGPD-LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE.
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022
A Autoridade Nacional de Proteção de Dados (ANPD) publicou a resolução que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte, em vigor desde a sua publicação dia 28/01/2022.
A resolução define, para efeitos da LGPD, o que são agentes de tratamento de pequeno porte, sendo eles: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Ficam definidas como microempresas e empresas de pequeno porte a sociedade empresária, sociedade simples, sociedade limitada unipessoal e o empresário, conforme previsão do Código Civil, em que “considera-se empresário quem exerce profissionalmente atividade econômica organizada para a produção ou a circulação de bens ou de serviços.”, além do microempreendedor individual, devidamente registrado.
E zonas acessíveis ao público são os espaços abertos como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Importante definição é a previsão quanto a quem NÃO poderá se beneficiar do tratamento jurídico diferenciado trazido pela resolução, ainda que sejam agentes de pequeno porte.
Agentes de tratamento que realizam tratamentos de alto risco para os titulares, não poderão se valer do tratamento diferenciado, sendo que há uma ressalva para aqueles agentes que optem por se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados, que poderão, então, utilizar a resolução.
IMPORTANTE:
NÃO se enquadram no regime diferenciado trazido pela resolução Agentes que:
II - Aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006,ou seja:
no caso de empresa de pequeno porte, aufira, em cada ano-calendário, receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais).
§ 1º Considera-se receita bruta, para fins do disposto no caput deste artigo, o produto da venda de bens e serviços nas operações de conta própria, o preço dos serviços prestados e o resultado nas operações em conta alheia, não incluídas as vendas canceladas e os descontos incondicionais concedidos
Passa a ser definido como tratamento de alto risco, que atendam ao menos um critério geral e um específico, sendo eles CUMULATIVOS:
I – Critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II – Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
A definição de larga escala, ainda é um conceito relativo, porem a resolução traz a definição: será caracterizado quando abranger um número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.
O tratamento de dados pessoais que pode afetar interesses e direitos fundamentais serão aqueles que podem impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e reputação, fraudes financeiras ou roubo de identidade.
O enquadramento nos critérios estabelecidos para aplicação do regime diferenciado será de comprovação obrigatória do agente.
A ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco
Fiquem atentos!!
A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Ficam os agentes de pequeno porte obrigados a disponibilizar informações sobre o tratamento de dados pessoais e atender as previsões quanto ao cumprimento dos direitos dos titulares, e o livre acesso conforme previsto na LGPD, podendo ser feito por meio eletrônico, impresso ou qualquer outro meio que seja eficaz para disponibilizar as informações aos titulares.
Isso traz a definição de que as entidades que não possuem site, por exemplo, não são obrigadas a terem um endereço eletrônico somente para o cumprimento das previsões contidas na LGPD.
Uma facilidade trazida pela resolução é a possibilidade que os agentes de tratamento de pequeno porte possam cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, quando há tratamento fundamentado em legítimo interesse, de forma simplificada, por meio de modelo que será fornecido pela própria ANPD.
E talvez um dos grandes questionamentos passa a ter resposta.
ENCARREGADO DE DADOS:
Os agentes de tratamento de pequeno porte NÃO são obrigados a indicar o encarregado pelo tratamento de dados pessoais, sendo que, em não havendo indicação, o agente deverá disponibilizar um canal de comunicação com o titular de dados para atender e aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Atenção!! caso o agente opte por indicar um encarregado, isso será considerado como uma política de boas práticas e governança.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO:
Poderá ser estabelecida política de segurança da informação simplificada que contemple requisitos essenciais e necessários para garantir a segurança da operação de tratamento, devendo ainda, ser considerados os custos para sua implementação.
PRAZOS:
Os prazos para os agentes de tratamento de pequeno porte serão em dobro, desde o prazo para atendimento das solicitações dos titulares, quanto a comunicação de incidentes à ANPD, sendo que os prazos para os agentes de tratamento de pequeno porte também serão objeto de regulamentação específica.
Os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada quanto a confirmação de existência ou o acesso a dados pessoais em um prazo de até quinze dias, contados da data do requerimento do titular.
E por fim.
ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Comments