O Conselho Diretor da Autoridade Nacional de Proteção de Dados – ANPD, aprovou Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que flexibiliza  aplicação da Lei Geral de Proteção de Dados Pessoais – LGPD para agentes de tratamento de pequeno porte.

Além da disposição de aplicação da LGPD de forma mais simplificada, a Resolução traz um prazo diferenciado aos agentes de tratamento de pequeno porte, determinando o dobro do prazo para cumprimento de solicitações de titulares, comunicação e préstimos de informações junto a ANPD.

A Resolução traz orientações sobre as obrigações relacionadas aos diretores do titular, registro das atividades de tratamento dos dados, bem como as comunicações de incidentes de segurança e boas práticas.

LGPD para Agentes de Tratamento de Pequeno Porte

São Agentes de Tratamento de Pequeno Porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, entidades sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Atividades de Tratamento de Alto Risco na LGPD

Considera-se alto risco o tratamento de dados pessoais, que atender cumulativamente a um dos critérios classificados em Geral ou Específico conforme quadro abaixo:

Entidades não qualificadas como Agentes de Tratamento de Pequeno Porte

Não poderão se beneficiar do tratamento jurídico diferenciado da LGPD as Entidades:

• Que realizam tratamento de alto risco para os titulares;
• Com receita bruta superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00 (art. 3º, II, da Lei Complementar nº 123, de 2006);
• Com receita bruta de até R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00 pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada (art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021); e
• Pertençam a grupos econômicos de fato ou de direito, cuja receita global ultrapasse os limites referidos acima descritos.

Dispensa da indicação do Encarregado de Dados (DPO)

Esta norma dispensa a nomeação do Encarregado de Dados (DPO), sendo sua indicação opcional, porém caso a Entidade opte pela indicação, a ANPD considera o ato positivo dentro das políticas de “Boas Práticas e Governança”.

O agente de tratamento de pequeno porte que não indicar um encarregado DPO deverá disponibilizar um canal de comunicação com o titular de dados para atender as normas de LGPD.

O DPO (sigla em inglês denominadas Data Protection Officer) é responsável por todas as ações preventivas e corretivas ligadas a segurança da informação. É ele que atua como canal de comunicação entre os titulares dos dados e a ANPD.

Entenda a LGPD

• A Lei nº 13.709, de 14 de agosto de 2018, denominada LGPD, é a lei que regulamenta o tratamento de dados pessoais no Brasil e não se restringe ao ambiente da Internet.
• A LGPD visa a proteção dos dados da pessoa natural, seja ela identificada ou identificável.
• Ela traz regras de como as Empresas devem coletar, armazenar, usar dados dos consumidores e usuários de sistemas e serviços, além da transparência ao detentor efetivo dos dados, em relação ao indivíduo, garantindo o sigilo dessas informações.
• Os dados pessoais representam fontes de informações extremamente relevantes para se medir comportamentos dos indivíduos, servindo de estratégia comercial para empresas.
• A proteção de dados pessoais é uma discussão antiga, começando em 1988 na Europa e culminando em 05/2018 na GDPR para os países da União Europeia, tratando de elementos essenciais como a forma de proteger os dados, principalmente via internet.

Esta norma entra em vigor a partir de 28 de janeiro de 2022, data de publicação no Diário Oficial da União.

Quer mais detalhes sobre a LGPD ou precisa de ajuda para deixar sua empresa em conformidade com a Lei? Acesse nossa página dedicada AQUI.

Fonte: ANPD