04 fev AGENTES DE TRATAMENTO DE PEQUENO PORTE – RESOLUÇÃO CD/ANPD nº 2/2022
No dia 27/01/2022, a ANPD publicou a Resolução CD/ANPD nº 2 que aprova o Regulamento de aplicação da Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”), para agentes de tratamento de pequeno porte (“Regulamento”).
A intenção foi flexibilizar a adequação de agentes de pequeno porte às exigências da LGPD, viabilizando a preservação dos direitos dos titulares de dados pessoais.
A seguir, serão destacados os principais pontos abordados no Regulamento:
Agentes de tratamento de pequeno porte: Nos termos do art. 2º, inciso I do Regulamento, serão considerados agentes de tratamento de pequeno porte: (i) microempresas e empresas de pequeno porte, conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006, (ii) startups, (iii) pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como (iv) pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
A comprovação do enquadramento como agente de tratamento de pequeno porte poderá ser solicitada pela ANPD e deverá ser apresentada no prazo de 15 (quinze) dias.
Não poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que: (i) realizem tratamento de alto risco para os titulares, conforme definição do art. 4º do Regulamento, ressalvado o direito de coordenação conjunta com outros agentes de tratamento para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados, (ii) aufiram receita bruta superior a R$4.800.000,00 (quatro milhões e oitocentos mil reais) ou, no caso de startups, a R$ 16.000.000,00 (dezesseis milhões de reais) em cada ano-calendário ou (iii) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item (ii).
Direitos dos titulares de dados pessoais: os agentes de tratamento de pequeno porte devem atender às requisições realizadas pelos titulares de dados por meio (i) eletrônico, (ii) impresso ou (iii) qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
Registro das atividades de tratamento: a ANPD fornecerá modelo para o registro das operações de tratamento de dados pessoais prevista no art. 37 da LGPD de forma simplificada.
Comunicação dos incidentes de segurança: por meio de regulamentação específica, a ANPD disporá sobre a flexibilização ou o procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte.
Faculdade para nomear encarregado pelo tratamento de dados pessoais: a indicação de encarregado pelo tratamento de dados pessoais exigida no art. 41 da LGPD será considerada política de boas práticas e de governança, porém não será obrigatória. O agente de tratamento de pequeno porte que não indicar o encarregado deverá disponibilizar canal de comunicação com o titular de dados para aceitar reclamações e comunicações, prestar esclarecimentos e adotar providências.
Política simplificada de segurança da informação: os agentes de tratamento de pequeno porte poderão elaborar política simplificada de segurança da informação que considere os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente. A ANPD considerará a existência de política simplificada para fins de avaliação do dever do agente de tratamento de dados (i) de responsabilização, (ii) de prestação de contas e (iii) de adoção de mecanismos e procedimentos internos capazes de minimizar o dano.
Prazo em dobro para cumprimento de obrigações: Os agentes de tratamento de pequeno porte terão prazo em dobro nas seguintes hipóteses: (i) atendimento das solicitações dos titulares de dados, (ii) comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, (iii) fornecimento de declaração que confirme a existência ou o acesso a dados pessoais (com exceção da declaração simplificada, que deverá ser fornecida no prazo de 15 dias) e (iv) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
A despeito da dispensa e da flexibilização das obrigações trazidas pelo Regulamento, o art. 6º é expresso em estabelecer que isso não isentará os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD.
Ademais, o art. 16 prevê que a ANPD poderá determinar ao agente de tratamento de pequeno porte “o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares”. A subjetividade contida na expressão reproduzida gera insegurança jurídica, uma vez que submete o agente de tratamento de pequeno porte à avaliação das circunstâncias do caso concreto pela ANPD para, então, ter ou não validada eventual dispensa ou flexibilização das obrigações contidas na LGPD realizada em momento anterior.
Conteúdo elaborado pelo nosso Sócio Renato Almeida Viana.
Sorry, the comment form is closed at this time.