Hoje foi publicada a Resolução CD/ANPD nº 2/2022. O aguardado ato normativo regulamentou obrigações da LGPD destinadas aos agentes de tratamento de pequeno porte. Segundo a norma, é qualificado como tal as:
- Microempreendedores individuais – MEI (que tenham receita bruta de até R$ 81 mil por ano);
- Microempresas (que tenham receita bruta de até R$ 360 mil por ano);
- Empresas de pequeno porte (que tenham receita bruta de até R$ 4,8 milhões por ano);
- Startups que estejam qualificadas na Lei Complementar nº 182/2021 (por exemplo, com receita bruta de até R$ 16 milhões e até 10 anos de inscrição no CNPJ);
- Pessoas naturais e entes despersonalizados (como autônomos)
A ANPD tem o poder de solicitar que o agente de tratamento comprove, em até 15 (quinze) dias, que se enquadra na hipótese de agente de tratamento de pequeno porte.
Quais são as principais novidades para esses agentes de tratamento de pequeno porte? Eles terão alguns benefícios no cumprimento das obrigações da LGPD, ou seja, uma forma mais facilitada de estar em compliance com a norma. Entre eles, vale destacar:
- A dispensa da necessidade de nomear um Encarregado de Proteção de Dados Pessoais;
- Registro de atividades de tratamento de maneira simplificada;
- Procedimento simplificado para comunicação de incidentes de segurança à ANPD;
- Medidas técnicas e administrativas simplificadas de segurança da informação, bem como a adoção de uma política simplificada de segurança da informação.
- Prazos em dobro para atender as solicitações dos titulares, comunicar à ANPD ou ao titular acerca de incidentes, fornecimento de declaração completa de tratamento de dados;
- Prazos para apresentação de documentos à ANPD
- 15 dias para o fornecimento de declaração simplificada sobre a existência de tratamento de dados pessoais
No caso do Encarregado, ainda que esteja dispensada a figura, ela será considerada como uma medida de boa prática e governança para fins de avaliação da ANPD em caso de qualquer infração à LGPD.
Importante destacar que essas flexibilizações não atingem os agentes de pequeno porte que pertençam a grupo econômico, e nem os que realizam tratamento de alto risco. O tratamento de alto risco é considerado quando, cumulativamente, atenda pelo menos um dos requisitos (gerais e específicos) de cada coluna abaixo:
Critérios Gerais |
Critérios específicos |
| Tratamento em larga escala (quando tem número significativo de titulares, volume de dados, com larga duração, alta frequência ou amplitude geográfica) | Uso de tecnologias emergentes ou inovadoras (por exemplo, inteligência artificial, reconhecimento facial, etc.) |
| Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares (quando puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade) | Vigilância ou controle de zonas acessíveis ao público |
| Decisões tomadas com base em tratamento automatizado (por exemplo, por algoritmo), inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular | |
| Utilização de dados pessoais sensíveis (como saúde, religião, etc.) | |
| Utilização de dados de crianças, adolescentes e idosos (titulares vulneráveis) |
A Peduti Advogados tem uma atuação consolidada na área de proteção de dados e privacidade, por meio de seu departamento de compliance digital, e está à disposição para esclarecer eventuais dúvidas que possam surgir em relação à aplicação da nova normativa da ANPD sobre o tema.
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.
