Foi publicada no Diário Oficial da União na última semana de janeiro a Resolução CD/ANPD nº 02 que dispõe sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte.
O novo regulamento estabelece conceitos, leva em consideração o porte econômico destes agentes, o risco que está associado às atividades que desempenham e a preservação dos direitos dos titulares.
Antes de se estabelecerem as regulamentações, a Autoridade Nacional de Proteção de Dados (ANPD) conceitua termos que estão previstos na normatização. Entre eles, o próprio entendimento de agentes de tratamento de pequeno porte:
Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Apesar disso, o regulamento faz ressalvas destacando o perfil dos agentes que, mesmo se enquadrando no conceito acima, não poderão se beneficiar do tratamento jurídico diferenciado. Assim, não se beneficiarão os agentes de tratamento de pequeno porte que:
- Realizem tratamento de alto risco para os titulares;
- Aufiram receita bruta superior a R$ 360 mil e igual ou inferior a R$ 4,8 milhões; ou, no caso de startups, aufiram receita bruta de até R$ 16 milhões; ou de R$ 1.333.334,00;
- Pertencem a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites do item acima.
O Regulamento estabelece, ainda:
- Não obrigatoriedade de indicação de encarregado pelo tratamento de dados pessoais devendo, o agente que não indicar, disponibilizar um canal de comunicação com o titular de dados.
- Prazos diferenciados, sendo em dobro, para:
- o atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
- a comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
- o fornecimento de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, contados da data do requerimento do titular e;
- o atendimento aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
- Possibilidade de estabelecer política simplificada de segurança da informação e flexibilização ou procedimento simplificado para o registro das operações de tratamento de dados e para a comunicação de incidentes de segurança, de acordo com regulamentação da ANPD.
Importante lembrar que a dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes ao cumprimento dos demais dispositivos da LGPD. Neste sentido, eles ainda devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.