Resolução sobre aplicação da LGPD para agentes de tratamento de pequeno porte entra em vigor

Prezados,

Nesta sexta-feira, 28 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 02, a qual aprovou o Regulamento que dispõe sobre a aplicação da Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) para agentes de tratamento de pequeno porte.

O Regulamento acima estabelece que será aplicável a microempresas, pequenas empresas, startups, pessoas jurídicas privadas, incluindo entidades sem fins lucrativos, que se enquadrem no conceito legal do Brasil, bem como a pessoas físicas e entidades privadas despersonalizadas, exceto àquelas que realizam atividades de processamento de dados que incorrem em altos riscos para as pessoas em questão.

De acordo com o Regulamento, uma atividade de processamento de dados de alto risco satisfaz pelo menos um critério geral e um critério específico entre aqueles listados no Regulamento. Os critérios gerais são (i) o tratamento de dados pessoais em larga escala; e (ii) o tratamento de dados pessoais que possam afetar significativamente os interesses e direitos fundamentais das pessoas em questão, enquanto os critérios específicos são (i) o uso de tecnologias emergentes ou inovadoras; (ii) a vigilância ou controle de áreas públicas acessíveis; (iii) decisões tomadas exclusivamente com base no tratamento automatizado de dados; e (iv) o uso de dados sensíveis ou dados pessoais pertencentes a crianças, adolescentes e idosos.

Dentre as flexibilizações, a Resolução da ANPD dispensa a nomeação do encarregado pelo tratamento de dados pessoais (DPO) para pequenas empresas, embora deva, em contrapartida, disponibilizar um canal de comunicação com o titular, bem como simplificar os procedimentos para responder às solicitações dos titulares, mantendo o registro das atividades de processamento de dados realizadas, relatando incidentes de segurança, adotando medidas de segurança e elaborando uma política de segurança.

Ademais, aos agentes de tratamento de pequeno porte, será concedido prazo em dobro para: (i) o atendimento das solicitações dos titulares; (ii) a comunicação à ANPD e ao titular da ocorrência de incidente de segurança, desde que não haja potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional; (iii) o fornecimento de declaração clara e completa de confirmação da existência ou o acesso a dados pessoais; e (iv) os prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Além disso, o Regulamento prevê que as pequenas empresas, incluindo aquelas que realizam atividades de processamento de dados de alto risco, podem se organizar através de entidades de representação de atividades comerciais, entidades jurídicas ou pessoas naturais para negociação, mediação e conciliação de reclamações apresentadas pelos titulares dos dados.

No entanto, tal Resolução não isenta os agentes de tratamento de pequeno porte de cumprir as demais disposições da LGPD, inclusive observar as bases legais e os princípios, bem como não os exime das obrigações relacionadas ao titular de dados previstas na LGPD, como a disponibilização de informações sobre o tratamento de dados pessoais e a garantia de direitos de tais titulares.

Apesar das flexibilizações previstas pelo Regulamento, a ANPD ainda pode solicitar ao agente de processamento de dados que cumpra as exigências do LGPD do qual foram dispensados, dependendo das circunstâncias, tais como a natureza ou o volume das operações, bem como os riscos para os titulares dos dados.

Em caso de dúvidas sobre o assunto acima, por favor, não hesitem em nos contatar.

 

Principais Contatos:

Paula Mena Barreto
Sócia
E: paula.menabarreto@cmalaw.com