Foi publicada na última sexta-feita (28/01) a Resolução CD/ANPD nº 2 de 27 de janeiro e 2022 regulando a aplicação da Lei nº 13.709/ 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), aos agentes de pequeno porte (“APP”) que realizam atividades relacionadas ao controle de dados pessoais.
A regulamentação garante a flexibilização de algumas obrigações da LGPD para os seguintes agentes:
- Microempresas e empresas de pequeno porte: de acordo com as definições do Código Civil e do Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte;
- Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação se caracterize pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que atendam aos requisitos previstos no Marco Legal das Startups;[1]
- Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, com faturamento máximo de R$4.8 milhões, conforme previsto no Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte.
Para esses agentes, o registro de operações de tratamento, bem como a comunicação de incidentes de segurança, serão feitos de forma simplificada a partir de modelo/procedimento disponibilizado pela própria ANPD. Além disso, diversos prazos de comunicação com titulares e com a ANPD serão contados de maneira estendida ou em dobro.
Ademais, os APPs não serão obrigados a indicar o encarregado de tratamento. Nada obstante, deverá manter canal de comunicação com o titular de dados e, caso opte por indicar um encarregado, isso será considerado política de boas práticas e governança, sendo tido em conta no momento da aplicação de eventuais sanções por descumprimento da LGPD.
Há também definições quanto aos critérios de segurança e boas práticas para os APPs, que devem adotar medidas mínimas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas políticas, no entanto, podem considerar os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente como fatores de simplificação e limitação.
Importante: as flexibilizações consideradas não se aplicam aos agentes que, mesmo se encaixando nas definições da regulamentação, realizem tratamentos definido como “de alto risco”, sendo estes: (i) os tratamentos em larga escala ou (ii) que possam afetar significativamente interesses e direitos fundamentais dos titulares. Em ambos os casos, estes tratamentos devem ser caracterizados pelos seguintes critérios específicos: a) uso de tecnologias emergentes ou inovadoras; b) uso de tecnologias de vigilância ou controle de espaços abertos ao público; c) que tomem decisões unicamente com base em tratamento automatizado de dados pessoais; ou d) utilização de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes e de idosos.
Vale ressaltar que não há uma definição quantitativa do que seria um tratamento em larga escala, ele é definido na regulamentação apenas como um tratamento que abrange número significativo de titulares, considerando-se também o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento. Já o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
[1] De acordo com o Marco Legal das Staturps (Lei Complementar nº 182/2021) são elegíveis para enquadramento nesta modalidade o empresário individual, empresa individual de responsabilidade limitada, sociedades empresárias, sociedades cooperativas e simples que atendam aos seguintes critérios: (i) receita bruta de até R$ 16 milhões de reais no ano calendário anterior, ou R$ 1,34 milhões multiplicados pelo número de meses no ano calendário anterior quando estiver ativa há menos de 12 meses; (ii) com até 10 anos de inscrição no CNPJ; e que (iii) atendam a um dos seguintes requisitos – a) declaração em seu ato constitutivo ou alterador a utilização de modelos de negócios inovadores para geração de produtos ou serviços, ou b) enquadramento no regime especial Inova Simples.