Regulamento da LGPD para agentes de pequeno porte
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 27 de janeiro, uma resolução visando regulamentar a aplicabilidade da Lei Geral de Proteção de Dados em agentes de tratamento de dados de pequeno porte e startups. Sendo assim, foram estabelecidas algumas regras diferentes para essas empresas, bem como a flexibilização de alguns pontos trazidos pela LGPD – Lei Geral de Proteção de Dados. Entenda este regulamento da LGPD para agentes de pequeno porte!
Quais são os agentes de pequeno porte?
Antes de tudo, faz-se necessário explicar o conceito de agentes de pequeno porte, uma vez que se trata de uma definição bastante ampla. De acordo com a resolução, encaixam-se nessa descrição microempresas, empresas de pequeno porte, pessoas naturais e entes despersonalizados que, de alguma forma, tratem dados pessoais, além de startups, conforme disposto no artigo 2º, desde que respeitem o teto estabelecido de faturamento anual.
Apenas se enquadram, portanto, nas regras previstas da LGPD para agentes de pequeno porte, empresas cujo faturamento anual não ultrapasse o valor de 4,8 milhões de reais, e Startups que se encaixam no teto máximo de 16 milhões em faturamento por ano.
LEIA TAMBÉM: Vazamento de dados pessoais: o que fazer para se proteger?
Quais as condições que as empresas devem respeitar?
Contudo, a resolução trouxe algumas condições para que as empresas façam uso dos benefícios. O agente não poderá realizar tratamento de dados que possua alto risco ao titular, o que ocorre devido ao tratamento de dados em larga escala ou pela possibilidade de ferir direitos e garantias fundamentais do titular. Ademais, o uso de tecnologias inovadoras, bem como o tratamento de dados para fins de vigilância e controle em zonas de acesso público são também considerados de alto risco. Caso as atividades de tratamento de dados do agente de pequeno porte se enquadrem nessas exceções, ele não poderá se beneficiar das flexibilizações trazidas pelo decreto.
Por se tratar de agentes de pequeno porte, a ANPD decidiu isentá-los do cumprimento de parte da LGPD, flexibilizando suas obrigações. Isso não significa, de forma alguma, que tais agentes estão isentos do cumprimento da lei. Foram apenas realizadas intervenções pontuais sobre os deveres e obrigações de agentes de tratamento de pequeno porte, e as demais determinações da LGPD, não abordadas na resolução, se mantém obrigatórias.
Segue abaixo um quadro comparativo das hipóteses em que os agentes de pequeno porte e startups podem se beneficiar:
Como está previsto na lei: |
Como fica com a nova resolução: |
De acordo com a LGPD, todos os agentes de tratamento de dados (empresas em geral) devem manter um registro de operações de tratamento de dados, conforme determina o Art. 37 | Para agentes de pequeno porte, tal registro de operações poderá ser elaborado de forma simplificada, e a ANPD fornecerá um modelo a ser seguido. |
A LGPD determina que, caso ocorra algum incidente de segurança, é dever do controlador notificar a ANPD, que já recomendou, inclusive, seja feita em até 48 horas. Contudo, o tema carece de regulamentação. | Com o decreto, os agentes de tratamento de pequeno porte, na eventualidade de um incidente de segurança, realizarão, de forma simplificada, os procedimentos de comunicação. |
Encarregado de Dados (DPO) – toda empresa deve nomear um encarregado de dados, sob pena de sofrer as sanções da Lei. | A resolução dispensa às empresas de pequeno porte formalizar um DPO, mas deve manter um canal de comunicação com os titulares |
A figura do encarregado na LGPD para agentes de pequeno porte
Um dos principais pontos abordados foi a possibilidade das pequenas empresas em não oficializar o Encarregado, popularmente conhecido como DPO (Data Protection Officer).
Esse encarregado é responsável, dentre outras atividades, atuar como uma ponte de comunicação entre agente de tratamento, titulares e a Autoridade Nacional, além de promover conscientizações e implementar boas práticas na empresa. A inexistência de um Encarregado, entretanto, não significa que tais práticas não devam existir. Ainda deverá haver um canal de comunicação com os titulares, de forma que possam exercer seus direitos conforme a lei.
Mesmo sendo opcional, a nomeação de um encarregado de proteção de dados é altamente recomendada. A existência de um DPO sempre será vista com bons olhos, pois mostrará que o agente de tratamento preza pela proteção de dados pessoais, sendo, portanto, considerada uma medida de boas práticas eficaz e importante . Isso está, inclusive, expresso na resolução, o que enfatiza ainda mais a necessidade da existência de um encarregado.
Por isso, se manter atento a boas práticas é extremamente importante, ainda que os deveres e obrigações sejam flexibilizadas. Isso será, inclusive, analisado pela ANPD, caso haja eventual incidente de segurança, e as sanções administrativas, se o agente de tratamento se mostre engajado ao tema da proteção de dados e preocupado com a implementação de medidas, serão mais brandas.
Ademais, a Autoridade Nacional flexibilizou também, para agentes de pequeno porte, os prazos para o cumprimento de suas obrigações, que será o dobro do tempo dos demais agentes de tratamento. Portanto, casos de atendimento a solicitações de titulares ou de comunicação com a ANPD terão um tempo maior de diálogo entre as partes, de forma a facilitar o processo de comunicação.
Essa resolução da ANPD tem, como motivo, facilitar a implementação da LGPD em pequenos negócios, se mostrando coerente com a realidade de pequenos empreendedores brasileiros. Dessa maneira, estarão capacitados a cumprir com as determinações legais, mesmo que com menos imposições, que não afetará em nada a correta aplicação da lei, uma vez que a própria resolução deixa claro que, embora existam algumas regras flexibilizadoras, a qualquer momento a ANPD pode solicitar uma conformidade completa da empresa.
Para ler a resolução completa, clique aqui!
Ainda tem dúvidas? Entre em contato conosco clicando aqui!