LGPD para Pequenas Empresas: quem se enquadra neste regulamento?

Voltar
LGPD para Pequenas Empresas
Autor: Juarez Fortes Categoria: LGPD, Proteção de Dados, Segurança da Informação Comentários: 0

LGPD para Pequenas Empresas: quem se enquadra neste regulamento?

A tão esperada resolução da ANPD que traz as regras da LGPD para Pequenas Empresas finalmente foi publicada. E com ela, veio a confirmação de que todas as empresas de pequeno porte também devem entrar em conformidade com a nova legislação. Porém, utilizando um conjunto reduzido de obrigações, disponíveis na Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022.

Resumo dos destaques da regulamentação da LGPD para Pequenas Empresas:

  • Define quem são os agentes de tratamento de pequeno porte e quais podem se beneficiar do regulamento;
  • Simplifica o registro das operações de tratamento de dados e o procedimento para comunicar incidentes de segurança;
  • Dispensa a obrigatoriedade da nomeação do DPO;
  • Possibilita a simplificação da Política de Segurança da Informação;
  • Concede prazo em dobro para as empresas atenderem as requisições de titulares e comunicar incidentes de privacidade.

ANPD e a adequação LGPD para Pequenas Empresas

A LGPD em seu artigo 55-J (Competências da ANPD) traz o seguinte texto, que obriga a ANPD criar o regulamento para agentes de tratamento de pequeno porte:

“XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;”

A LGPD também apresenta em seu artigo 46, que trata sobre a Segurança e Boas Práticas, o seguinte texto, motivador da criação do Guia Orientativo de Segurança da Informação para agentes de pequeno porte pela ANPD:

“§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.”

Portanto, é possível concluir então que a ANPD atendeu as suas obrigações com os agentes de tratamento de pequeno porte trazidas pela LGPD, através da criação da resolução que trata o regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte e com as orientações de padrões técnicos mínimos para aplicar a LGPD trazidas no guia de orientação.

LGPD para Pequenas Empresas: quem se enquadra neste regulamento?

Para começarmos o assunto, é importante definirmos quem são os agentes de tratamento de pequeno porte. Esta definição está disponível no art. 2º da Resolução CD/ANPD nº 2:

I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

II – microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;

III -startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e

IV – zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Todas as empresas caracterizadas como agentes de tratamento de pequeno porte enquadram-se neste regulamento?

A resposta curta é: não.

Em seu art. 3º, a resolução da ANPD traz as exclusões. Mesmo empresas que se enquadrem nos critérios acima, caso apresentem alguma das situações abaixo, não poderão se beneficiar deste regulamento:

I – realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;

II – aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou

III – pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.

A resolução CD/ANPD 2 traz ainda uma definição sobre o tratamento de alto risco acima citado. Esse item, na minha opinião, ainda poderia ser mais bem detalhado. Afinal, não quantifica de forma clara o que é considerado um número significativo de titulares de dados.

Para considerar um tratamento de dados pessoais como alto risco, é necessário que o tratamento atenda, cumulativamente, a pelo menos um critério geral e um critério específico, dos critérios abaixo:

I – critérios gerais:

  1. tratamento de dados pessoais em larga escala; ou
  2. tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II – critérios específicos:

  1. uso de tecnologias emergentes ou inovadoras;
  2. vigilância ou controle de zonas acessíveis ao público;
  3. decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  4. utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Além dessas questões, a resolução traz também pontos relacionados ao tratamento de alto risco:

  • Tratamento de dados em larga escala será caracterizado quando abranger um número significativo de titulares, considerando o volume de dados, a duração, frequência e extensão geográfica.
  • Tratamento de dados que possa afetar interesses e direitos, impedindo o exercício de direitos ou a utilização de um serviço, ou ocasionar danos materiais ou morais a titulares de dados, como discriminação, violação à integridade física, ao direito à imagem e a reputação, fraudes financeiras ou roubo de identidade.

A ANPD poderá disponibilizar um guia com orientações para que os agentes possam avaliar se o tratamento que realizam é de alto risco.

A obrigatoriedade de comprovar que a empresa se enquadra como Agente de Tratamento de Pequeno Porte à ANPD é da empresa. Ela deverá realizar isso em até 15 dias, quando solicitado pela ANPD.

Abaixo um Quiz para você avaliar se a sua empresa é considerada um Agente de Tratamento de Pequeno Porte na LGPD:

 

Quais as obrigações dos agentes de tratamento de pequeno porte?

Os agentes de tratamento de pequeno porte deverão disponibilizar informações sobre o tratamento de dados pessoais. Para atender a essa questão, é recomendável que a empresa possua essas informações sobre o tratamento de dados disponível em sua política ou aviso de privacidade publicada no site.

Também precisam atender às requisições dos titulares de dados conforme os artigos 9º e 18º da LGPD. Este atendimento pode ocorrer por meio eletrônico ou impresso, assegurando os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.  Para atender a essa questão,   a empresa deve contar com um canal de comunicação com o titular de dados. Pode ser um endereço de e-mail que centralize esse tipo de solicitação e mantenha o registro de todas as solicitações e atendimento realizados aos titulares de dados, além de a empresa possuir um processo para atender essas requisições dos titulares de dados.

Também é possível que os agentes de tratamento de pequeno porte se organizem por meio de entidades de representação da atividade empresarial, como sindicatos e associações, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Registro das atividades de tratamento:

A ANPD trouxe uma flexibilização no art. 37 da LGPD, que obriga as empresas a manterem o registro das operações de tratamento de dados que realiza. A ANPD não tirou a obrigatoriedade desse registro. Porém, fornecerá um modelo para o registro simplificado das operações de tratamento de dados realizadas por agentes de tratamento de pequeno porte.

Comunicação de incidentes de segurança:

A ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica.

Obrigatoriedade do Encarregado pelo tratamento de dados pessoais (DPO – Data Protection Officer)

Os agentes de tratamento de pequeno porte não serão obrigados a possuírem um encarregado pelo tratamento de dados pessoais conforme previsto no art. 41 da LGPD. No entanto, poderão indicá-lo caso julguem necessário para sua realidade. Isso será considerado como política de boas práticas e governança para fins de definição da sanção administrativa em caso de infrações à LGPD, devidamente reguladas pela ANPD.

Aliás, é importante esclarecer que mesmo os agentes de tratamento de pequeno porte que não possuírem um DPO deverão atender às requisições dos titulares de dados. Além disso, deverão estar em conformidade com a LGPD, baseando-se na resolução CD/ANPD nº 02, no Guia Orientativo de Segurança da Informação para agentes de tratamento de pequeno porte e também na própria Lei Geral de Proteção de Dados.

Segurança e Boas práticas

A resolução da ANPD traz ainda uma seção que trata da segurança e boas práticas que devem ser adotadas pelos agentes de tratamento de pequeno porte, usando como referência o Guia Orientativo de Segurança da Informação para agentes de tratamento de pequeno porte. Ele poderá ser usado como observância ao disposto no  art. 52, §1º, VIII da LGPD.

Os agentes de tratamento de pequeno porte poderão estabelecer uma política simplificada de segurança da informação. Para este fim podem levar em consideração os custos de implementação, estrutura, a escala e volume das operações do agente de tratamento de pequeno porte.

Entretanto, esta política simplificada precisa contemplar os requisitos essenciais e necessários para o tratamento de dados pessoais com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Prazos diferenciados

A resolução CD/ANPD n° 2 concede prazo em dobro para os agentes de tratamento de dados nos seguintes casos:

  • Atendimento as requisições de titulares: a LGPD obriga as empresas atenderem em 15 dias, os agentes de pequeno porte então poderão atender em até 30 dias.
  • Comunicar um incidente de privacidade à ANPD e aos titulares: a LGPD traz que essa comunicação deve ser realizada em prazo razoável, e a ANPD já informou que esse prazo deverá ser de 2 dias, então, no caso de agentes de tratamento de pequeno porte essa comunicação deverá ser feita em até 4 dias.
  • Fornecer a declaração completa e simplificada que trata o art. 19, I, da LGPD: as empresas terão o prazo de até 15 dias para fornecê-la ao titular, contado da data de requerimento do titular. No caso de agentes de tratamento de pequeno porte esse prazo é em dobro.

Por fim, a resolução CD/ANPD n° 02 traz o Artigo. 16. Ele destaca que poderá obrigar as empresas de pequeno porte cumprirem as obrigações dispensadas no regulamento, considerando as circunstâncias relevantes da situação, como natureza, volume das operações e riscos aos titulares.

Conte conosco

A Rastek Soluções em TI é referência no mercado adequação e conformidade com a LGPD. A empresa conta com um serviço especializado para agentes de tratamento de pequeno porte. Portanto, caso tenhas interesse em iniciar a adequação da sua empresa, basta preencher o formulário abaixo e aguardar o contato de nossa equipe!

    Leia também

    Conheça as 7 principais ameaças cibernéticas para as empresas

    Compartilhar Post

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Voltar