LGPD - APLICAÇÃO PARA EMPRESAS DE PEQUENO PORTE

-

 


Neste artigo falaremos da segunda Resolução publicada pela Autoridade Nacional de Proteção de Dados - ANPD, que estabelece através de seus 16 artigos[1], como deve ser aplicada a LGPD para agentes de tratamento de dados pessoais de pequeno porte. Dispondo de flexibilizações e procedimentos simplificados que poderão ser utilizados pelas empresas a seguir definidas.

Mas primeiramente, é reforçado que esta Resolução também não se destina ao tratamento de dados pessoais realizado por pessoas naturais para fins exclusivamente particulares e não econômicos, bem como para outras hipóteses já previstas no artigo 4º da LGPD[2].

A quem se aplica a Resolução nº 02 da ANPD publicada no dia 28/01/2022?

Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes despersonalizados que realizem tratamento de dados pessoais.

Neste ponto, para maior compreensão, cabe tecermos alguns comentários complementares sobre os tipos de empresas citados na normativa em tela:

Microempresa: Sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário, devidamente registrados nos órgãos competentes, que aufira a receita bruta anual do valor igual ou inferior a R$360.000,00[3].

Empresas de pequeno porte: Sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário, devidamente registrados nos órgãos competentes, que aufira a receita bruta anual superior a R$360.000,00 e igual ou inferior a R$4.800.000,00[4].

Startups: Organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados. Corresponde ao empresário individual, a empresa individual de responsabilidade limitada, as sociedades empresárias, as sociedades cooperativas e as sociedades simples com receita bruta de até R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses, independentemente da forma societária adotada. Deve conter até 10 anos de inscrição no Cadastro Nacional da Pessoa Jurídica (CNPJ) da Secretaria Especial da Receita Federal do Brasil do Ministério da Economia entre outros requisitos contidos no artigo 4º da Lei Complementar 182/2021[5].

Observação importante: Sempre que solicitado pela ANPD, o agente de tratamento de pequeno porte terá o prazo de 15 dias para comprovar que se enquadra nos requisitos desta Resolução.

Em quais hipóteses as empresas acima não poderão aplicar esta Resolução?

Caso venham a auferir receita bruta anual superior a R$4.800.000,00 ou pertença a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites auferidos acima.

Outro ponto muito relevante e que de alguma forma ainda traz certa subjetividade em sua aplicação, trata-se da exigência de que os agentes de pequeno porte não podem realizar um tratamento considerado como de alto risco.

Mas o que é um tratamento de alto risco?

Corresponde ao tratamento que atender cumulativamente a pelo menos um critério geral e a um critério específico, conforme abaixo:

Critérios gerais: a) tratamento de dados pessoais em larga escala; ou b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

Critérios específicos: a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Observações importantes:

O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Se minha empresa se enquadrar nas hipóteses acima, estará dispensada de cumprir a LGPD?

Não. A dispensa ou flexibilização das obrigações dispostas nesta normativa não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

Podemos dizer que o objetivo desta resolução é estabelecer, quando cabível, procedimentos diferenciados com base nas possíveis limitações administrativas e financeiras apresentadas por estas empresas menores, sem deixar de zelar pela proteção de dados pessoais. 

Então quais obrigações foram flexibilizadas por esta Resolução?

Para melhor fixação, é ilustrado a seguir as principais obrigações que podem ser flexibilizadas ou até simplificadas com a aplicação desta normativa:

 


 DIREITO DOS TITULARES

Os agentes de tratamento de pequeno porte continuam tendo que respeitar todos os direitos já previstos na LGPD quanto aos titulares, a novidade é que lhes é facultado a possibilidade de organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

REGISTRO DE ATIVIDADES DE TRATAMENTO   

Não é obrigatório o cumprimento da obrigação de elaboração e manutenção das operações de tratamento de dados pessoais realizadas pelo agente de pequeno porte, podendo ser realizada de forma simplificada, situação em que a ANPD fornecerá o modelo que atende suas expectativas.

COMUNICAÇÃO DE INCIDENTES DE SEGURANÇA

No que tange a comunicação de incidentes de segurança, a Resolução determina que a ANPD publicará uma regulamentação específica visando flexibilizar ou criar um procedimento simplificado para os agentes de pequeno porte.

ENCARREGADO NA PROTEÇÃO DE DADOS PESSOAIS (DPO)

Apesar de ser considerada como uma adoção de política de boas práticas e governança a ser considerada pela ANPD na aplicação de sanções administrativas, a nomeação de um encarregado de dados pessoais por tais agentes não é obrigatória. Mas veja que a normativa exige que seja disponibilizado um canal de comunicação para atender os direitos dos titulares de dados pessoais.

SEGURANÇA E BOAS PRÁTICAS

Em linhas gerais a Resolução estabelece que os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Devem atender as recomendações e boas práticas publicadas pela ANPD, assim como estabelecer uma política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.   

Neste ponto, cabe frisar a importância da leitura do Guia Orientativo publicado em outubro/2021 pela ANPD, que estabelece pontos importantes sobre boas práticas aos agentes de tratamento de pequeno porte[6].

Ademais, a existência de uma política simplificada de segurança da informação será considerada pela ANPD como a adoção de política de boas práticas e governança, bem como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos, voltados ao tratamento seguro e adequado de dados, sendo uma forma de mitigar os efeitos do incidente.

PRAZOS DIFERENCIADOS

A Resolução nº. 02/2022 fixou o prazo em dobro nos seguintes casos:

- Para atender as solicitações de titulares;

- No caso da comunicação de incidentes de segurança ao titular e a ANPD, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;

- Quando for necessário o fornecimento de declaração completa ao titular (referente confirmação de existência ou acesso a dados pessoais);

- Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Por fim, a declaração simplificada ao titular deverá ser entregue no prazo de até 15 dias.

Outros prazos serão determinados em regulamentação específica a ser publicada pela ANPD.

Pode haver exceções quanto a aplicação desta resolução?

Sim. Pois a ANPD pode vir a determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, tendo como base, circunstâncias relevantes da situação, como a natureza ou o volume das operações executadas, bem como os riscos envolvidos para os titulares dos dados pessoais.



Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Fev/2022

Photo by nrd on Unsplash



[1] PRESIDÊNCIA da República. Aprova o Regulamento de aplicação da Lei nº 13.709/2018 para agentes de tratamento de pequeno porte. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019#wrapper. Acesso em 07/02/2022.

[2] PRESIDÊNCIA da República. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 07/02/2022.

[3] PRESIDÊNCIA da República. Lei Complementar nº 123/2006 que institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte pequeno porte e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm. Acesso em 07/02/2022.

[4] PRESIDÊNCIA da República. Lei Complementar nº 123/2006 que institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte pequeno porte e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm. Acesso em 07/02/2022.

[5] PRESIDÊNCIA da República. Lei Complementar nº 182/2021 que institui o marco legal das startups e do empreendedorismo inovador. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/Lcp182.htm. Acesso em 07/02/2022.

[6] ANPD. Segurança da Informação para Agentes de Tratamento de Pequeno Porte. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf. Acesso em 07/02/2022.


Location: São Paulo, SP, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra