LGPD simplificada para Agentes de Tratamento de Pequeno Porte

Em vigor desde 2020, a Lei Geral de Proteção de Dados trouxe uma série de obrigações e diretrizes de segurança da informação para as empresas. No entanto, recentemente a ANPD (Autoridade Nacional de Proteção de Dados) apresentou um novo regramento com exigências menores, uma LGPD simplificada. Essa nova legislação com regras menos rígidas aplica-se a todas as empresas que se enquadrem como Agentes de Tratamento de Pequeno Porte, cujas características abordaremos ao longo deste post. Boa leitura!

Adequação à LGPD é um desafio para as empresas

Antes de mais nada, é necessário reconhecer que a adequação à nova legislação de proteção de dados representa um desafio para as empresas. Afinal, a correta adequação exige uma série de transformações nos processos internos e nas rotinas de seus funcionários.

Além das medidas técnicas relacionadas à TI e Segurança da Informação, há uma série de boas práticas que devem ser incorporadas por todos os colaboradores para garantir a proteção dos dados sob controle das empresas.

O mapeamento do ciclo de vida dos dados e seu armazenamento, tratamento, descarte deve ser minucioso e bem documentado, de modo a garantir que o Encarregado de Dados responsável pela empresa possa zelar pela integridade dos mesmos junto aos titulares de dados e à ANPD.

Em sua concepção, a LGPD abrange desde os Micro Empresários Individuais aos grandes conglomerados multinacionais. No entanto, cobrar das micro e pequenas empresas o mesmo nível de exigências aplicado às megacorporações é contraproducente, além de atrasar o processo como um todo.

Foi a partir deste entendimento que a ANPD desenvolveu um novo pacote de regras flexibilizadas, uma espécie de LGPD simplificada, a ser adotada por todas as empresas que se enquadrem como Agentes de Tratamento de Pequeno Porte.

Agentes de Tratamento de Pequeno Porte: quem se enquadra?

Com o intuito de ampliar e facilitar a conformidade com a Lei Geral de Proteção de Dados, a ANPD lançou a resolução nº 02/2022, que tipifica os Agentes de Tratamento de Pequeno Porte e como as exigências flexibilizadas da LGPD se aplicam a eles. No entanto, antes de aprofundarmos o assunto sobre o regramento simplificado, é preciso tipificar quais controladores de dados podem ser categorizados como agentes de tratamento de pequeno porte.

São eles:

• Pessoas naturais;
• Pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
• Entes privados despersonalizados;
• Startups;
• Microempresas;
• Empresas de pequeno porte.

Faturamento pode impedir enquadramento como agente de tratamento de pequeno porte

Há alguns fatores que podem excluir as entidades citadas acima do enquadramento como agentes de tratamento de pequeno porte. O faturamento é um deles. Para Empresas de Pequeno Porte, o limite fica entre R$360.000 (trezentos e sessenta mil reais) e R$4.800.000 (quatro milhões e oitocentos mil reais).

Já para startups, o limite de faturamento máximo é de R$16.000.000 (dezesseis milhões de reais) por ano ou até R$1.333.334 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) por mês quando a atividade for inferior a 12 meses corridos.

Além destes, também ficam excluídas do enquadramento empresas que pertençam a grupos econômicos – de fato ou de direito – cujo faturamento global anual supere os valores citados acima.

Tratamento de alto risco para os titulares

Outro fator excludente é o tratamento de alto risco para os titulares. A definição de tratamento de alto risco é balizada por critérios gerais e critérios específicos. São eles:

Critérios gerais:

• Tratamento de dados pessoais em larga escala;
• Tratamento de dados pessoais que possa afetar significativamente os interesses e direitos dos titulares de dados.

Critérios específicos:

• Uso de tecnologias emergentes / inovadoras;
• Vigilância ou controle de áreas externas acessíveis ao público como praças, passeios públicos, centros comerciais, terminais de ônibus, aeroportos, etc;
• Decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, inclusive as destinadas à definição de perfil pessoal de consumo, de saúde, de crédito ou aspectos gerais da personalidade do titular;
• Utilização de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.

Para que uma empresa seja considerada incompatível com a categoria de agente de tratamento de pequeno porte por tratamento de alto risco, é necessário que haja o cumprimento de pelo menos um dos critérios gerais e um dos critérios específicos citados acima.

Também é importante ressaltar que a Autoridade Nacional de Proteção de Dados deve disponibilizar guias e orientações para auxiliar os agentes de tratamento de pequeno porte na avaliação de tratamento de alto risco.

Descubra se a sua empresa se enquadra como agente de tratamento de pequeno porte

Para facilitar, a Rastek Soluções desenvolveu um breve questionário que ajuda a definir se a sua empresa pode ser enquadrada como agente de tratamento de pequeno porte ou não. Para fazer o teste, basta clicar aqui.

O que muda com a LGPD simplificada?

Agora que já sabemos se a sua empresa pode ser considerada como agente de tratamento de pequeno porte, vamos ver como ficam as exigências da LGPD simplificada para estes agentes. A LGPD simplificada é o regramento flexibilizado proposto pela resolução CD/ANPD nº 2/2022 para possibilitar que o maior número de empresas entre em conformidade com a Lei Geral de Proteção de Dados.

Esta flexibilização alivia algumas normas e estende prazos de resposta para que micro, pequenas e médias empresas consigam incluir os processos de tratamento de dados, segurança da informação e atendimento aos titulares em suas operações regulares. Desta forma, as exigências e cobranças para esta categoria de empresas passam a ser compatíveis com o tamanho das organizações, e são menos rígidas do que as regras aplicadas às empresas de maior porte.

Vamos às principais alterações no regramento:

Organização de Entidades de Representação da Atividade Empresarial

De acordo com a LGPD, todos os controladores de dados são obrigados disponibilizar informações sobre o tratamento realizado e atender às solicitações dos titulares e da Autoridade Nacional de Proteção de Dados. Estas informações podem ser prestadas por meio eletrônico, impresso ou qualquer outro meio que assegure acesso facilitado do titular aos seus dados.

Uma das principais facilidades trazidas pela LGPD simplificada é a possibilidade de organização de entidades de representação da atividade empresarial. Isso permite que os agentes de tratamento de pequeno porte possam criar e integrar entidades para representá-las frente às requisições tanto de titulares de dados quanto da ANPD.

Registro simplificado de atividades de tratamento de dados

Outra obrigatoriedade da LGPD define que as empresas mantenham registros das operações de tratamento de dados efetuadas. A norma da LGPD simplificada permite que os agentes de tratamento de pequeno porte mantenham um registro simplificado das operações de tratamento de dados, tendo como base um modelo que será fornecido pela própria ANPD.

Apontar um Encarregado de Dados passa a ser facultativo

O encarregado de dados é a figura responsável pela garantia da integridade e segurança dos dados, além de atender às solicitações dos titulares e da ANPD. A LGPD simplificada traz aos agentes de tratamento de pequeno porte a possibilidade de dispensa desta figura centralizadora. Mas cabe ressaltar que esta flexibilização não extingue a necessidade da existência de um canal de comunicação para atender as demandas da LGPD.

A indicação de um encarregado de dados passa ser facultativa para as empresas que se enquadram nesta categoria. No entanto, a indicação espontânea de um encarregado de dados será considerada como cumprimento da política de boas práticas de governança e pode atenuar a aplicação de sanções em caso de violações da LGPD.

Portanto, vale muito a pena contar com um encarregado de dados, mesmo que não seja mais obrigatório.

Política simplificada de Segurança da Informação

A LGPD simplifica também traz novidades em relação às normas técnicas e boas práticas de Segurança da Informação. Porém, por tratar-se de parte fundamental da Lei Geral de Proteção de Dados, a política simplificada de Segurança da Informação deve atender aos requisitos mínimos de segurança, considerando-se o tipo de atividade da empresa, o tipo de dados que controla e os riscos à privacidade dos titulares.

As políticas de Segurança da Informação e suas medidas técnicas são essenciais para proteger os dados de violações como acessos não autorizados, destruição, perda, alteração e quaisquer outras formas de vazamento de dados previstos pela LGPD.

A Autoridade Nacional de Proteção de Dados fornece guias orientativos de boas práticas de segurança e prevenção de violações de dados que devem ser observados para que os agentes de tratamento de pequeno porte possam ser considerados em conformidade com o artigo 52 da LGPD.

Comunicação de violações e incidentes de segurança

A ANPD ainda não definiu como será a comunicação simplificada de incidentes de segurança para agentes de tratamento de pequeno porte. No entanto, a comunicação simplificada já está prevista na resolução publicada em janeiro.

Prazos em dobro para atendimento de solicitações

Os agentes de tratamento de pequeno porte passam a ter direito ao dobro do prazo previsto na Lei Geral de Proteção de Dados nos seguintes casos:

• atender às solicitações de titulares de dados referentes ao tratamento dos dados;
• comunicar aos titulares e à ANPD a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
• no fornecimento da declaração clara e completa prevista no artigo 19 da LGPD, cujo prazo normal é de 15 dias;
• prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Os demais prazos não citados na resolução para agentes de tratamento de pequeno porte serão determinados por regulamentação específica.

Conte conosco

A Rastek Soluções em TI é uma das pioneiras em adequação à LGPD no sul do Brasil. Contando com as principais certificações do setor e utilizando ferramentas com tecnologia de ponta, entregamos planejamentos e cronogramas de adequação personalizados para atender as necessidades específicas de cada operação. Nossas soluções em LGPD são completas e cobrem o projeto de ponta a ponta, desde os mapeamentos iniciais até os programas continuados de conscientização e treinamento para disseminar as políticas e boas práticas de segurança da informação a todos os processos, setores e colaboradores da empresa. Para saber mais sobre como adequar a sua empresa à LGPD, basta preencher o formulário abaixo e aguardar o contato de nossa equipe!

Leia também

DPO as a service: o que é, como funciona e quanto custa?