Por Renan Correa Leandro. Especialista LGPD e CEO da VESATEC. Em 28/01/2022.
A Agência Nacional de Proteção de Dados (ANPD) trabalhava nesta resolução desde o último trimestre de 2021 no último dia 27/01/2022 foi publicada no Diário Oficial da União. Em linhas gerais, a resolução 2/2022 da ANPD flexibiliza algumas regras para as empresas de pequeno porte poderem se adequar com maior facilidade à Lei Geral de Proteção de Dados (LGPD).
Se quiser ter acesso ao inteiro teor do documento, clique no link ao lado: https://in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
Mas, para ajudar as empresas e profissionais que atuam com a LGPD, segue um breve resumo das principais questões que envolvem esta resolução.
Quem são as empresas de pequeno porte?
-
Microempresas e empresas de pequeno porte (EPP): sociedade empresária, sociedade simples, sociedade limitada unipessoal.
-
Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021
-
Pessoas naturais e entes privados despersonalizados: neste caso, são pessoas que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador (não se enquadra o tratamento realizado para fins exclusivamente particulares e não econômicos);
Todas as empresas de pequeno porte se beneficiarão da flexibilização desta resolução?
Não. No artigo 3 da resolução existem algumas regras de exclusão que devem ser observadas. São elas:
I – empresas que realizam tratamento de alto risco para os titulares;
II – empresas que aufiram receita bruta superior ao limite estabelecido por leis específicas (listadas abaixo):
-
Empresas de Pequeno Porte: Art. 3º, II, da Lei Complementar nº 123, de 2006 (receita bruta superior à R$ 360.000,00 e inferior à R$ 4.800.000,00);
-
Startups: Art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021 (receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada);
III – empresas que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos acima, conforme o caso.
O que seria uma atividade de alto risco para os titulares?
Para resolução 2/2022 da ANPD, atividade de alto risco será aquela que atender a pelo menos um critério geral e um critério específico que estão listados abaixo:
I – critérios gerais:
-
tratamento de dados pessoais em larga escala; ou
-
tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II – critérios específicos:
-
uso de tecnologias emergentes ou inovadoras;
-
vigilância ou controle de zonas acessíveis ao público;
-
decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
-
utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Se o Agente de Tratamento se enquadrar como empresa de alto risco para os direitos dos Titulares, as flexibilizações previstas na resolução não se aplicarão.
As empresas de pequeno porte foram dispensadas de atender aos direitos do Titular e da necessidade de solicitar consentimento, quando aplicável?
Não. A necessidade de atender aos direitos do Titular de Dados (previstos no Artigo 18 da Lei Geral de Proteção de Dados) e aos requisitos para o Consentimento (previstos no Artigo 9 da Lei Geral de Proteção de Dados) permanece.
Como ficaram as regras para registro de operações de tratamento (ROPA) e a comunicação de incidentes de segurança?
A resolução afirma que a ANPD irá dispor de modelos mais simplificados para registro de operações e comunicação de incidentes para as empresas de pequeno porte. No entanto, não há detalhes sobre prazos para que isso ocorra. É importante que os profissionais fiquem atentos a este item no site da ANPD em https://www.gov.br/anpd/pt-br.
As empresas de pequeno porte foram dispensadas de indicar um Encarregado de Dados (DPO)?
Sim. Mas, é necessário atenção com relação a dois pontos.
Ponto 1: As empresas que dispensarem a indicação de um DPO precisarão manter um contato publicado para atendimento aos Titulares de Dados. Ou seja, mesmo sem um DPO, a empresa precisará atender as requisições encaminhadas em razão da LGPD.
Ponto 2: Embora a resolução dispense a prática, ela reforça que a indicação de um DPO continuará sendo enquadrada como uma política de boa prática e governança para a LGPD, o que poderá contar à favor da empresa em disputas inerentes à conformidade no Tratamento de Dados Pessoais.
Existem guias para auxiliar as empresas de pequeno porte?
A resolução deixa claro que os requisitos exigidos em empresas de pequeno porte serão menores do que em outras organizações. No ano passado, a ANPD publicou um guia orientativo para agentes de pequeno porte que você poderá utilizar como referência para a criação de uma política de segurança neste tipo de cenário.
Como ficaram os prazos previstos na LGPD para os agentes de pequeno porte?
Via de regra, os prazos para as empresas de pequeno porte serão considerados em dobro. Isso vale tanto para os prazos que já existem na LGPD quanto aqueles que serão regulamentados pela Agência. Atualmente, destacam-se os seguintes prazos:
Fornecimento de declaração clara e completa sobre as atividades de tratamento de dados pessoais. O prazo na LGPD atualmente é de 15 (quinze) dias e com a resolução, os agentes de tratamento de pequeno porte passam a ter 30 (trinta) dias para responder.
Comunicação de incidente de segurança. Atualmente a ANPD recomenda 2 (dois) dias úteis para comunicação (embora este prazo ainda careça de resolução). Agora, os agentes de tratamento de pequeno porte passam a ter 4 (quatro) dias úteis para comunicação.
Necessário notar que os prazos previstos em resolução da ANPD podem sofrer alteração com o passar do tempo e a evolução das normativas, por isso, é fundamental acompanhar atentamente este item no site da ANPD.
Carreira DPO. Posso estudar com a VESATEC?
Precisa estudar LGPD e se tornar um DPO certificado? Conheça a carreira de certificação DTWI.