whatsapp anchor

6 Exigências da LGPD Flexibilizadas Para Agentes de Tratamento de Pequeno Porte!

Escrito por CHC Advocacia

Um dos grandes desafios atuais do empreendedor é realizar a implementação da Lei Geral de Proteção de Dados (LGPD) na sua empresa. Isso requer a realização de muitas mudanças internas, tais como a adoção de medidas técnicas, preventivas e administrativas, bem como o desenvolvimento de boas práticas sobre proteção de dados. 

Essas mudanças não devem ser vistas como obstáculos, mas como  investimentos para o desenvolvimento e crescimento das empresas, diante do contexto de avanços tecnológicos que estamos inseridos. 

Para falar a verdade, as empresas que não realizarem a adequação à Lei Geral de Proteção de Dados terão muitos obstáculos e dificuldades na continuidade do seus negócios, pois existe a possibilidade de multas e sanções administrativas, condenações judiciais e prejuízos reputacionais que podem acabar com qualquer companhia. 

Mas, se você ainda tem dúvidas sobre como a LGPD pode afetar a sua empresa, nós temos um artigo que pode te ajudar: Você sabe como a Lei de Proteção de Dados vai afetar sua empresa? 

A preocupação com a proteção de dados não se limita às grandes empresas, na realidade, as empresas de pequeno porte também devem buscar a adequação à LGPD para evitar as dificuldades e os obstáculos já mencionados. 

E como funciona essa implementação da LGPD para as empresas de pequeno porte? as startups? microempresas? 

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) aprovou a Resolução nº 2 de 27 de janeiro de 2022, que regulamentou a aplicação da Lei Geral de Proteção de Dados para Agentes de Tratamento de Pequeno Porte.

Parece algo complicado? 

Calma que a CHC vai te explicar! Isso significa que existe uma aplicação da LGPD diferenciada para Agentes de Tratamento de Pequeno Porte, com dispensa ou flexibilização de algumas obrigações previstas na LGPD.

Sabemos que esse assunto é muito importante, por isso, nós vamos descomplicar as 6 exigências da LGPD flexibilizadas para os Agentes de Tratamento de Pequeno Porte e, ao final, você terá um super bônus para te ajudar com os prazos!

Conhecendo as definições da Resolução nº 02/2022.

Para entender como funciona a aplicação da LGPD para Agentes de Tratamento de Pequeno Porte é necessário, primeiramente, saber as definições adotadas pela ANPD na Resolução nº 02/2022. 

Dessa forma, são considerados Agentes de Tratamento de Pequeno Porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, pessoas naturais, bem como os entes privados despersonalizados.

Desse modo, a regulamentação considera microempresas e empresas de pequeno porte: a sociedade empresária, sociedade simples, sociedade limitada unipessoal, e o empresário, inclusive,  o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas.

Já as Startups são consideradas como “organizações empresariais e societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados” desde que observem os critérios do Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021, o famoso Marco Legal das Startups.

Por fim, as zonas acessíveis ao público são consideradas “espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros”.

Quem não pode se beneficiar desse tratamento jurídico diferenciado?

A Resolução nº 02/2022 é uma regulamentação diferenciada sobre a aplicação da Lei Geral de Proteção de Dados (LGPD) para os Agentes de Tratamento de Pequeno Porte. Mas, os benefícios jurídicos não são para todos, pois as flexibilizações previstas na norma não se aplicam ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos e para as situações previstas no art. 4º da LGPD. 

Além disso, o art. 3º da Resolução também estabelece quem não pode se beneficiar desse tratamento jurídico diferenciado, sendo eles:

Os agentes que realizam tratamento de alto risco para os titulares (exceto o previsto no art. 8º); 

Os agentes que aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; 

Nessa situação, o primeiro limite estabelecido refere-se a Empresa de Pequeno Porte que alcance em cada ano-calendário, receita bruta superior a R$ 360.000,00 (trezentos e sessenta mil reais) e igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) e, o segundo limite, refere-se às Startups que tenham uma receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada.

Por fim, não são beneficiados os agentes de tratamento que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos acima.

Mas o que é tratamento de alto risco?

É considerado tratamento de alto risco quando houver, cumulativamente, pelo menos um critério geral e um critério específico estabelecidos no art. 4º da Resolução, sem prejuízo do disposto no art.16.

Desse modo, os critérios gerais são definidos como: 

  • tratamento de dados pessoais em larga escala; ou, 
  • tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Já os critérios específicos são considerados: 

  • uso de tecnologias emergentes ou inovadoras; 
  • vigilância ou controle de zonas acessíveis ao público; 
  • decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional. de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou, 
  • utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

É importante dizer que a própria ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os Agentes de Tratamento de Pequeno Porte na avaliação do tratamento de alto risco.

O que é tratamento de dados pessoais em larga escala?

Um dos critérios gerais é o tratamento de dados pessoais em larga escala. Esse tipo de tratamento será caracterizado quando envolver um número significativo de titulares, considerando o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado, conforme o art.4º, §1º da Resolução nº2/2022.

Ressaltamos que o tratamento de dados pessoais em larga escala é considerado de alto risco, justamente por envolver um grande volume de dados nas atividades de tratamento e esse risco está relacionado a garantia e proteção dos direitos dos titulares de dados.  Basta imaginar a ocorrência de um incidente no tratamento de dados que um número significativo de pessoas seriam afetadas.

O que pode ser considerado tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais?

Outro critério geral é o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais, esse tipo de tratamento será caracterizado por situações em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade e outras situações, de acordo com o art.4º, §2º da Resolução nº2/2022.

Nessa situação, o tratamento é considerado de alto risco porque está em jogo os direitos fundamentais dos titulares. Isso significa que existem riscos que podem provocar danos gravosos as pessoas, colocando-as em situação vulnerável de discriminação, ofensas a reputação, imagem, integridade física e outras violações.

É importante que as empresas que realizam tratamento de dados que possam afetar direitos fundamentais desenvolvam formas eficazes de mitigação do riscos e danos.

Preciso comprovar o enquadramento para ANPD?

A resposta é: Depende! 

Quando for solicitado pela ANPD, caberá ao Agente de Tratamento de Pequeno Porte comprovar que se enquadra nas disposições do art.2º e do art. 3º da Resolução nº2/2022, no prazo de até 15 dias.

A comprovação desse enquadramento será feita apenas quando for solicitado pela ANPD, nessa situação é importante demonstrar que o agente de tratamento atende aos requisitos previstos na Resolução nº02/2022. Se não preencher os requisitos, não poderá se beneficiar do tratamento jurídico diferenciado para Agentes de Tratamento de Pequeno Porte. 

Conheça as 6 flexibilizações das obrigações da LGPD para Agentes de Tratamento de Pequeno Porte!

1- Flexibilização sobre obrigações relacionadas aos direitos do titular

A forma será facilitada aos titulares de dados!

Os Agentes de Tratamento de Pequeno Porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com os arts. 9º e 18 da LGPD. 

Essas obrigações relacionadas aos titulares de dados serão realizadas por meio eletrônico, impresso, ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações.

Uma novidade é a possibilidade de formação de uma entidade representativa para agentes de tratamento. 

Isso mesmo, um dos aspectos mais importante da Resolução nº2/2022, refere-se a possibilidade dos Agentes de Tratamento de Pequeno Porte se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para realizarem negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Embora seja facultativo, é uma grande oportunidade para os Agentes de Tratamento de Pequeno Porte organizarem uma entidade representativa relacionada à atividade empresarial e desenvolver condições para negociações com os titulares de dados.

2- Do Registro das Atividades de Tratamento de Forma Simplificada!

A Lei Geral de Proteção de Dados estabelece que os agentes de tratamento devem manter o registro das operações de tratamento de dados pessoais que realizarem, especialmente se houver interesse legítimo. 

Sobre legítimo interesse, recomendamos nosso artigo: LGPD: O que é o legítimo interesse?

 Cabe aos controladores e operadores manter os registros das atividades de tratamento de dados pessoais, essa obrigação está prevista na LGPD, mas ela não apresenta uma forma de realização desses registros de operação de tratamento.

Sobre essa exigência, a Resolução possibilita o cumprimento da obrigação de elaboração e manutenção de registro das operações de tratamento de dados de forma simplificada e a própria ANPD fornecerá um modelo para que os agentes possam realizar o registro simplificado. 

3- Das Comunicações dos Incidentes de Segurança

No que se refere às comunicações sobre os incidentes de segurança, a ANPD ainda vai dispor sobre flexibilização ou procedimento simplificado para a realização dessa comunicação por meio de regulamentação específica.

Vamos aguardar…

Mas enquanto isso não acontece, entendemos que é preciso observar a orientação da própria Autoridade Nacional de Proteção de Dados sobre o prazo de comunicação de incidentes de 2 (dois) dias úteis, contados da data do conhecimento do incidente.

Desse modo, enquanto estiver pendente a regulamentação sobre a comunicação de incidente de segurança, será utilizado o prazo de 2 (dois) dias úteis, seguindo a orientação fornecida pela Autoridade em seu site.

Lembre-se de que um incidente de segurança deve ser comunicado sempre que possa acarretar um risco ou dano relevante aos seus titulares. Em caso de dúvida, a ANPD recomenda que os controladores adotem uma postura de cautela e façam a comunicação mesmo nos casos em que houver dúvidas sobre a relevância dos riscos e danos envolvidos no incidente. 

4- Dispensa do Encarregado pelo Tratamento de Dados Pessoais

Polêmica!

A maior flexibilização presente na Resolução nº 02/2022, é a dispensa do encarregado de dados! 

Isso significa que os Agentes de Tratamento de Pequeno Porte não são obrigados a indicar o encarregado de dados, trata-se de uma flexibilização da exigência prevista no art. 41 da LGPD. 

Contudo, mesmo não sendo obrigatório indicar um encarregado de dados, é necessário que o Agente de Tratamento de Pequeno Porte disponibilize um canal de comunicação para atender as demandas dos titulares de dados.

Um aspecto importante sobre a indicação facultativa do encarregado de dados, é que caso haja a indicação por parte dos Agentes de Tratamento de Pequeno Porte será considerada política de boas práticas e governança para fins de aplicação das sanções, conforme o art. 52, §1º, IX da LGPD.

Sendo assim, será considerada uma boa prática por parte dos Agentes de Tratamento de Pequeno Porte a indicação espontânea do encarregado de dados!

5- Da Segurança e das Boas Práticas

A segurança e boas práticas são essenciais para a proteção dos dados pessoais, por isso, não podem ser dispensadas para os Agentes de Tratamento de Pequeno Porte.

Desse modo, as exigências estabelecidas são de adoção de medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação, considerando o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Atenção, o atendimento às recomendações, às boas práticas de prevenção e segurança e os guias orientativos divulgados pela ANPD, serão considerados como observância do art. 52, §1º, VIII da LGPD.

Em relação à Política de Segurança da Informação, os Agentes de Tratamento de Pequeno Porte podem estabelecer uma Política Simplificada de Segurança da Informação, desde que observem os requisitos essenciais e necessários para o tratamento de dados pessoais.

Essa política é importante para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Além disso, a política deverá levar em consideração os custos de implementação, estrutura, escala e volume das operações do Agente de Tratamento de Pequeno Porte.

Por fim, a ANPD irá considerar a existência de política simplificada de segurança da informação para fins do disposto no art. 6º, X e no art. 52, §1º, VIII e IX da LGPD.

6- Como funcionam os prazos para Agentes de Tratamento de Pequeno Porte?

 Prazo em dobro, será?

 Os prazos são diferenciados para os Agentes de Tratamento de Pequeno Porte, eles são garantidos em dobro. Mas, calma que nem todos os prazos foram flexibilizados e alguns ainda estão sujeitos a regulamentação específica.

Nós vamos te explicar como funcionam os prazo para os Agentes de Tratamento de Pequeno Porte, que serão concedidos em dobro: 

I – Para o atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;

II – Para a comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica. Todavia, nos casos que houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, a comunicação deverá atender aos prazos que são conferidos aos demais agentes de tratamento, ou seja, trata-se de uma exceção ao “prazo em dobro”.

III – Para o fornecimento de declarações para o titular de dados por Agentes de Tratamento de Pequeno Porte, se for uma declaração simplificada estabelecida no art. 19, I da LGPD, o prazo será de até 15 dias, contados a partir do requerimento do titular, se for uma declaração clara e completa estabelecida no art. 19, II da LGPD, o prazo será em dobro

Observe que os prazos para o fornecimento de declarações para os Agentes de Tratamento de Pequeno Porte foram ampliados, tornando melhor a condição de atender os titulares de dados em comparação aos prazos previstos no art. 19, I e II da LGPD, que para o formato simplificado o prazo é imediatamente e para uma declaração clara e completa, o prazo estabelecido é de até 15 dias contados do requerimento do titular. 

Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Os prazos que não foram mencionados no regulamento para Agentes de Tratamento de Pequeno Porte, serão determinados por regulamentação específica.

De forma resumida, as 6 principais exigências da LGPD flexibilizadas para os agentes de tratamento de pequeno porte são: 

A ANPD pode alterar as regras do jogo?

Sim, a ANPD “poderá determinar ao Agente de Tratamento de Pequeno Porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares”, conforme o art. 16 da Resolução nº02/2022. 

A dispensa ou flexibilização das obrigações da LGPD realizadas na Resolução nº 02/2022 da ANPD, não isenta os Agentes de Tratamento de Pequeno Porte do cumprimento das demais obrigações previstas na Lei Geral de Proteção de Dados, bem como outras regulamentações sobre a proteção de dados.

Ainda não conhece todas as outras exigências implementadas pela LGPD? Então não perca tempo e confira agora mesmo o conteúdo: LGPD: como implementar a Lei Geral de Proteção de Dados na sua empresa!

Em agradecimento por você ter lido todo o conteúdo do nosso artigo sobre as 6 exigências da LGPD flexibilizadas para Agentes de Tratamento de Pequeno Porte, nós preparamos uma dica bônus para você, uma tabela com todos os prazos que foram alterados pela Resolução nº 02/2022.

Se você ficou com alguma dúvida sobre o assunto, a CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse! Inscreva-se no nosso 🎬 Canal do Youtube e visite nosso perfil no  📸 Instagram, garantimos que você vai compreender o Direito com informação de qualidade e uma pitada de bom humor. 🎧 Ouça ainda os episódios do Podcast JusTaPop, a sua conexão com o #DireitoDescomplicado.

Quer mais? Convidamos você a fazer parte da nossa Comunidade no 📲 Telegram, lá você receberá na palma da sua mão nossos materiais, dicas práticas e ainda terá acesso aos conteúdos exclusivos para os inscritos no canal.

2 comentários em “6 Exigências da LGPD Flexibilizadas Para Agentes de Tratamento de Pequeno Porte!”

Deixe um comentário