Flexibilização da LGPD para empresas de pequeno porte
Dentro do contexto das empresas de pequeno porte, a implementação da Lei Geral de Proteção de Dados (LGPD) pode representar um desafio significativo.
Reconhecendo as dificuldades enfrentadas por essas organizações, foram estabelecidas medidas de flexibilização da LGPD, com o objetivo de facilitar a adequação à legislação de proteção de dados.
Essa flexibilização visa equilibrar a proteção dos dados pessoais dos usuários com a capacidade das empresas menores de se adaptarem às exigências regulatórias, permitindo que elas se mantenham em conformidade e operem de maneira mais eficiente no mercado.
O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou em 28 de janeiro deste ano o regulamento 2/2022, que flexibiliza as exigências para adequação das empresas de pequeno porte à Lei Geral de Proteção de Dados (LGPD).
A elaboração e aprovação desse regulamento contou com a participação ativa do Sebrae e entidades do setor.
A Lei nº 13.709, Lei Geral de Proteção de Dados Pessoais (LGPD), define o que são considerados agentes de tratamento de pequeno porte que se beneficiarão do novo regulamento, como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado e sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, entre outros.
O art. 3º do Capítulo II e art. 4º do Capítulo III dessa Lei também dispõem as empresas quem não poderão se beneficiar do tratamento jurídico diferenciado.
A dispensa ou flexibilização das obrigações dispostas no regulamento 2/2022 não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Dentre as flexibilizações aprovadas, estão poder cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada;
Adotar procedimento simplificado de comunicação de incidente de segurança e política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
Não obrigatoriedade de indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD;
Prazo em dobro no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;
No fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD; em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Vale ressaltar que a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Fonte: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
