Está em vigor desde 28 de janeiro de 2022 a Resolução da Autoridade Nacional de Proteção de Dados, contendo o Regulamento para a aplicação da LGPD por parte dos agentes de tratamento considerados de “pequeno porte”. (Agentes de tratamento são assim considerados os Controladores e Operadores, para relembrar estes conceitos visite a Seção 1-A “Conhecendo a LGPD“.)
O Regulamento considera especialmente (i) o porte econômico dos agentes de tratamento; (ii) estabelece conceitos; (iii) define os riscos aos quais estão associadas as atividades que os referidos agentes desempenham; (iv) reforça a adoção de medidas de preservação dos direitos dos titulares, já estabelecidas na própria LGPD, mas flexibilizadas.
O conceito chave apresentado pela Resolução é o de “agentes de tratamento de pequeno porte”, que segundo a ANPD podem assim serem consideradas as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Contudo, o Regulamento também apresenta ressalvas relacionadas ao “perfil” dos referidos agentes de tratamento de pequeno porte, que, mesmo se enquadrando neste conceito, não poderão beneficiar-se do tratamento jurídico diferenciado caso:
- Realizem de tratamento de alto risco para os titulares;
- Obtenham receita bruta superior a R$ 360 mil e igual ou inferior a R$ 4,8 milhões;
- No caso de startups, obtenham receita bruta de até R$ 16 milhões no ano-calendário anterior ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada pela startup;
- Pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites do item acima.
É importante destacar que para fins do Regulamento, será considerado tratamento de “alto risco” aquele que, cumulativamente, ostente pelo menos um dos critérios gerais e específicos a seguir:
I – Critérios gerais:
a) tratamento de dados pessoais em larga escala (O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado pelo agente de tratamento.); ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares. (O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento exercida pelo agente de pequeno porte puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.)
II – Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Atenção! Caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra no perfil, bem como estar dentro das disposições do Regulamento, em até quinze dias.
O Regulamento estabelece, ainda:
- A não obrigatoriedade de indicação de encarregado pelo tratamento de dados pessoais devendo, entretanto, o agente que não o indicar, disponibilizar um canal de comunicação com os titulares de dados;
- Possibilidade de estabelecer política simplificada de segurança da informação e flexibilização ou procedimento simplificado para o registro das operações de tratamento de dados e para a comunicação de incidentes de segurança, de acordo com regulamentação da ANPD; e
- Prazos diferenciados, sendo em dobro, para:
– O atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
– A comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
– O fornecimento de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, contados da data do requerimento do titular; e
– O atendimento aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Atenção! A dispensa ou flexibilização das obrigações dispostas no Regulamento não isenta os agentes de tratamento de pequeno porte ao cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares, ou seja, eles não estão isentos da adoção de boas-práticas em matéria de privacidade e proteção de dados, devendo assim adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
