NOVA RESOLUÇÃO DA ANPD REGULAMENTA APLICAÇÃO DA LGPD PARA AGENTES DE PEQUENO PORTE

 

Em 28 de janeiro de 2022, foi publicada, pela Autoridade Nacional de Proteção de Dados (ANPD), a Resolução CD/ANPD nº 2/2022, que aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para os agentes de pequeno porte, tais como startups, microempresas (ME), empresas de pequeno porte (EPP), pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais em posição de controladores ou de operadores (“Regulamento”). 

O referido Regulamento tem por objetivo proporcionar a adequação dos agentes de tratamento de pequeno porte à LGPD, por meio da flexibilização de algumas obrigações, para que essas não se tornem mais um obstáculo para o desenvolvimento regular das atividades dos pequenos empreendedores. Conforme declarado pelo presidente do SEBRAE (Serviço Brasileiro de Apoio às Micro e Pequenas Empresas), Carlos Melles, essa foi mais uma vitória não somente conquistada pelos pequenos negócios, como também pelos titulares dos dados tratados

A Diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer, defendeu ser necessário um tratamento especial aos agentes de tratamento de pequeno porte, tendo em vista que eles enfrentam obstáculos para conseguirem se enquadrar à LGPD. Ela afirma que o Regulamento busca “estabelecer normas e procedimentos simplificados para esses atores, levando em consideração não apenas seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas. 

Dentre os diversos avanços que a respectiva norma apresenta para essa esfera empresarial, cumpre destacar, em primeiro plano, a possibilidade de tais agentes registrarem as atividades de tratamento, como a elaboração e manutenção de registro das operações com dados pessoais, de forma simplificada, através de modelo a ser fornecido pela ANPD. 

Além disso, o Regulamento permite que os agentes de tratamento de pequeno porte realizem o atendimento das requisições feitas pelos titulares de dados pessoais por meios eletrônicos, físicos (impressos) ou por quaisquer outros meios que assegurem os direitos dos referidos titulares, nos termos da LGPD, sendo facultado também a esses agentes a possibilidade de se organizarem por meio de entidades de representação da sua atividade empresarial, para fins de negociação, mediação e conciliação de reclamações apresentadas pelos titulares de dados.

Somada às medidas acima, o novo Regulamento também dispensa a obrigatoriedade da indicação de encarregado pelo tratamento de dados pessoais, conforme exigido no art. 41 da LGPD, para os agentes de pequeno porte, desde que estes disponibilizem um canal de comunicação com os titulares de dados. Todavia, a indicação de um encarregado por parte dos agentes de tratamento de pequeno porte será considerada pela ANPD como uma política de boas práticas e governança, para fins de dosimetria de eventuais penalidades (art. 52, §1º, IX da LGPD).

Outra diferenciação também abarcada pela norma é a possibilidade dos agentes de pequeno porte estabelecerem uma política simplificada de segurança da informação, que seja elaborada em observância aos custos de implementação, a estrutura, a escala e o volume das operações com dados pessoais realizadas por esses agentes.

Ademais, o novo dispositivo normativo estabelece que os agentes de tratamento de pequeno porte têm direito à prerrogativa do prazo em dobro quando do atendimento de determinadas obrigações previstas na LGPD, prazos esses que serão posteriormente definidos em regulamentação específica.

Todavia, apesar de todos os benefícios trazidos pelo Regulamento, cumpre ressaltar que os agentes de tratamento de pequeno porte não estão isentos de cumprir com as diretrizes previstas na LGPD – incluindo, desde a sua base legal, até os seus princípios, tais como o da boa-fé, da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência e da segurança – bem como não estão isentos de cumprir com outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais. 

Ainda, cumpre esclarecer que o tratamento diferenciado trazido pela Resolução não se aplica aos agentes de tratamento de pequeno porte que: (i) realizarem tratamento de alto risco para os titulares; (ii) auferirem receita bruta superior ao limite estabelecido na legislação aplicável, equivalente a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) ou, no caso das startups, equivalente a R$ 16.000.000,00 (dezesseis milhões de reais); ou (iii) pertencerem a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites supramencionados.

Por fim, importante lembrar que, o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, serão observadas pelo órgão para fins de dosimetria das penalidades aplicadas aos agentes em caso de descumprimento da LGPD, conforme disposto no art. 52, §1º, VIII da referida norma.

Confira também o nosso artigo sobre o Guia Orientativo da Segurança da Informação para Agentes de Tratamento de Pequeno Porte, que aponta as principais medidas administrativas e técnicas a serem adotadas pelos agentes de tratamento de pequeno porte para conformidade à LGPD.

Para maiores esclarecimentos, entre em contato com o escritório ZANETTI E PAES DE BARROS – ADVOGADOS, por meio de sua equipe especializada em Negócios Digitais e Proteção de Dados.

Por: Bianca Oliveira Begossi, Daniel dos Santos Fonseca Lago e Mariane Vitória Claudino Gomes.