A Autoridade Nacional de Proteção de Dados (ANPD), responsável pelo fomento e controle da Lei Geral de Proteção de Dados (LGPD) no Brasil começou o ano de 2022 já publicando a Resolução CD/ANPD nº 2, em 27 de janeiro de 2022, aprovando o regulamento de aplicação da LGPD – Lei 13.709/2018 para agentes de tratamento de pequeno porte.
Com respeito à referida norma é interessante notar as seguintes definições já consideradas pela ANPD:
Ainda assim, a resolução citada acima proíbe às empresas de pequeno porte terem suas obrigações com respeito à LGPD simplificadas nos termos dessa resolução se:
- Realizarem tratamento de alto risco para os titulares, ressalvada a hipótese de organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
- Auferirem receita bruta superior a R$ 4,8 milhões e, no caso de startups, receita bruta no ano anterior superior a R$ 16 milhões.
- Pertencerem a grupo econômico de fato ou de direito, cuja receita global ultrapasse a R$ 4,8 milhões e, no caso de startups, receita bruta no ano anterior superior a R$ 16 milhões.
O termo “tratamento de alto risco” poderia gerar uma série de dúvidas, mas a ANPD não perdeu tempo em definir que tratamento de alto risco seria caracterizado se o tratamento de dados pessoais atendesse cumulativamente a pelo menos um critério geral e um critério específico:
Critérios gerais
1. Tratamento de dados pessoais em larga escala, sendo que o tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; ou
2. Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, sendo assim caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Critérios específicos
1. Uso de tecnologias emergentes ou inovadoras;
2. Vigilância ou controle de zonas acessíveis ao público;
3. Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
4. Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
A ANPD também poderá a qualquer momento solicitar do agente de tratamento de pequeno porte que prove essa condição; hipótese em que o mesmo terá 15 (quinze) dias para fazê-lo.
Os agentes de tratamento de pequeno porte tem o dever de disponibilizar informações sobre o tratamento de dados pessoais ou atender a requisições de titulares de dados pessoais por meio eletrônico, impresso ou qualquer outro meio que facilite o acesso às informações pelos titulares de dados.
Todavia, com respeito ao cumprimento da obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, a ANPD irá fornecer modelo para o registro simplificado.
Outra simplificação diz respeito à comunicação dos incidentes de segurança, já que a ANPD afirma que disporá sobre flexibilização ou procedimento simplificado da sua comunicação. Resta esperar que flexibilização ou procedimento será este.
A boa notícia para as empresas de pequeno porte é que não precisarão indicar a figura do encarregado, prevista na LGPD, como aquele que deverá intermediar o contato da empresa com a ANPD e com os titulares de dados.
Por outro lado, os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, valendo para tanto o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos; sendo ainda facultado estabelecer política simplificada de segurança da informação, que leve em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações, e que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Outra boa notícia para os agentes de tratamento de pequeno porte é que terão prazo sempre em dobro, (i) no atendimento das solicitações de titulares de dados referentes aos seus dados pessoais, (ii) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação, (iii) no fornecimento de declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial e (iv) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento. Aliás, até mesmo a declaração simplificada ao titular de dados poderá ser fornecida no prazo de 15 (quinze) dias, enquanto a LGPD estabelece o prazo imediato para os demais agentes de tratamento de dados.
