A Agência Nacional de Proteção de Dados (ANPD) publicou, na última sexta-feira (28/01), a resolução que regulamenta a aplicação da Lei Geral de Proteção de Dados (LGPD), flexibilizando algumas medidas para agentes de tratamento de pequeno porte, que abrange micro e pequenas empresas e startups.
Importante destacar que a dispensa ou flexibilização das obrigações previstas no regulamento não isenta os agentes do cumprimento dos demais dispositivos da LGPD. A medida cumpre disposição da LGPD de criar tratamento diferenciado para empresas pequenas e negócios inovadores, visando equilibrar as regras legais sem flexibilizar os direitos dos titulares dos dados.
O que muda para as pequenas empresas?
1. Dispensa da obrigação de nomear encarregado de tratamento de dados pessoais
Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, o chamado Data Protection Officer (DPO). Assim, caso opte por não indicar o encarregado, a empresa deverá disponibilizar um canal de comunicação com o titular de dados.
2. Prazos diferenciados
A norma concede prazo em dobro para atender solicitações da ANPD e dos titulares sobre o tratamento de seus dados pessoais e para comunicar a ocorrência de incidente de segurança que não tiver risco de comprometer a integridade dos titulares ou a segurança nacional.
3. Flexibilização do registro das atividades de tratamento
Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, em modelo que será fornecido pela ANPD. Os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada no prazo de até 15 dias, contados da data do requerimento do titular.
4. Políticas simplificadas
Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas.
A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
Atenção! A norma ainda indica que a ANPD poderá determinar ao agente o cumprimento das obrigações dispensadas ou flexibilizadas na resolução, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
Para quem a resolução se aplica?
A resolução é aplicável para agentes de pequeno porte – o que inclui microempresas e empresas de pequeno porte, startups e instituições sem fins lucrativos – que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Porém, o regulamento não se aplica para agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares.
Como a norma define tratamento de alto risco?
Será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os seguintes:
Critérios gerais:
- tratamento de dados pessoais em larga escala, que abrange número significativo de titulares, considerando também, o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado; ou
- tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, ou seja, caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade;
Critérios específicos:
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de zonas acessíveis ao público;
- decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Material adicional
A ANPD lançou um guia orientativo de segurança da informação direcionado aos agentes de tratamento de pequeno porte e um checklist com as medidas de segurança.
Gerência de Relacionamento Institucional, Regulatório e Comunicação (GERIG)