A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 28 de janeiro, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para os agentes de tratamento de pequeno porte.
Pela resolução, são considerados agentes de tratamento de pequeno porte, as “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.
É muito importante ressaltar que a resolução traz consigo a importante definição de tratamento de alto risco, contendo critérios gerais e específicos. No que se refere aos agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco, a ANPD poderá disponibilizar orientações e guias com o escopo de auxiliar.
Quando a ANPD solicitar as empresas comprovação sobre seu enquadramento, estas terão o prazo de 15 dias para comprovar que se enquadram na qualidade de agentes de pequeno porte.
A resolução ainda desobriga tais agentes de indicar o encarregado pelo tratamento de dados pessoais, também conhecido como DPO, mas estabelece a necessidade de disponibilizarem um canal de comunicação com o titular de dados. Também traz o registro simplificado das operações de tratamento de dados pessoais, e a ANPD disponibilizará o modelo para tanto.
Esses agentes, quanto à proteção de dados pessoais, devem adotar medidas administrativas e técnicas de segurança da informação, considerando os requisitos mínimos para a proteção de dados pessoais, o nível de risco à privacidade dos titulares e a realidade do agente de tratamento.
Todavia, a resolução traz a possibilidade de elaboração de uma política simplificada de segurança de informação, que deve considerar os “custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte”.
Outra previsão importante é o prazo dobrado que os agentes de pequeno porte terão em relação aos atendimentos de solicitações dos titulares; à comunicação tanto à ANPD, quanto ao titular sobre a ocorrência de incidentes de segurança; ao fornecimento de declaração clara e completa que “indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial” (art. 19, II, LGPD) e quanto a “apresentação de informações, documentos, relatórios e registros solicitados pela ANPD”. Em relação a declaração simplificada (confirmação de tratamento), o prazo é de 15 dias a partir do requerimento do titular.
Nas disposições finais da resolução, há expresso que “A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares”.
Segundo a relatora do processo, Miriam Wimmer, “A LGPD dedicou especial atenção aos agentes de pequeno porte, reconhecendo que esses atores possuem desafios próprios para a conformidade com a LGPD. O Regulamento de Agentes de Pequeno Porte busca, portanto, dar cumprimento ao comando legal de que a ANPD deve estabelecer normas e procedimentos simplificados para esses atores, levando em consideração não apenas seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas. Com isso, buscamos encontrar um ponto de equilíbrio que permita calibrar adequadamente a regulamentação para esses agentes, mantendo a proteção aos direitos dos titulares." (i)
Vale recordar que a resolução não desobriga os agentes de pequeno porte quanto à adequação à LGPD, mas flexibiliza algumas regras, sem, contudo, prejudicar os direitos dos titulares. As atividades de tratamentos de dados devem observar a boa-fé e os demais princípios previstos pela LGPD, como a finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Leia a Resolução na íntegra. Acesse clicando aqui.
Por Aicha Eroud.
Crédito da imagem: Canva