10/02/2022 – Publicada a Resolução CD/ANPD Nº 2 (DOU 28/01/22) , aprovando o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/18), para agentes de tratamento de pequeno porte. O texto esclarece que a ANPD deverá apresentar regulamentação posterior, como é o caso da flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte. O Regulamento busca estabelecer normas e procedimentos simplificados para as microempresas, empresas de pequeno porte e startups, levando em consideração não apenas o seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas.
Abaixo, seguem os principais destaques da Resolução que interessam às empresas do setor:
Definições:
- Agentes de tratamento de pequeno porte: são as MEs e EPPs, nos termos da legislação vigente.
- Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Não poderão se beneficiar do tratamento jurídico diferenciado
§ Os agentes que realizem tratamento de alto risco para os titulares, ressalvada o consentimento do titular, que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular;
§ Aufiram receita bruta superior ao limite legal estabelecido;
§ Pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites legais de enquadramento, conforme o caso.
A norma ainda traz os conceitos, condições e aplicações para:
Tratamento de alto risco: Enquadramento de tratamento de alto risco, Tratamento de dados pessoais em larga escala, Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais, Guias orientativos para avaliação do tratamento de alto risco e Prazo comprobatório.
Tratamento dos dados pessoais pelos agentes de tratamento de pequeno porte: Obrigações dos agentes de tratamento de pequeno porte relacionadas aos direitos do titular, Negociação, mediação e conciliação, Registro simplificado das atividades de tratamento, Flexibilização ou simplificação nas comunicações dos incidentes de segurança, Dispensa da obrigatoriedade do encarregado pelo tratamento de dados pessoais e Adoção de medidas de segurança da informação e de boas práticas para proteção de dados pessoais.
Aplicação de prazos em dobro
Exceções às dispensas e flexibilizações previstas no Regulamento: a ANPD poderá determinar ao agente o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Dada a importância e o alcance da norma, recomenda-se a leitura completa e estudo caso a caso. Para tanto a mesma pode ser obtida no link abaixo:
