01/02/2022 •
RESOLUÇÃO DA ANPD REGULAMENTA APLICAÇÃO DA LGPD PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE
Foi publicada em 28 de janeiro de 2022 a Resolução CD/ANPD nº 2/2022, que regulamenta a aplicação da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte.
De acordo com o texto aprovado, são considerados agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups e pessoas jurídicas de direito privado, inclusive as sem fins lucrativos, desde que aufiram receita bruta anual igual ou inferior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) ou, no caso de startups, R$ 16.000.000,00 (dezesseis milhões de reais), bem como pessoas físicas e entes despersonalizados (como é o caso de condomínios, por exemplo) que realizem tratamento de dados pessoais.
O novo Regulamento busca simplificar a adaptação de tais agentes de tratamento de pequeno porte às disposições da LGPD, por meio da flexibilização de obrigações e estabelecimento de prazos diferenciados para seu cumprimento.
Dentre as novas regras, destaca-se a possibilidade de cumprimento de obrigações de elaboração e manutenção de registro de operações de tratamento de dados de forma simplificada, com base em modelo a ser fornecido pela ANPD, bem como a dispensa da obrigação de indicação de encarregado pelo tratamento de dados pessoais, que passa a ser considerada política de boas práticas e governança, para os fins de abrandamento de sanções eventualmente aplicadas pela ANPD.
Agentes de tratamento de pequeno porte passam a beneficiar-se, ainda, de prazos em dobro para atendimento de solicitações de usuários quanto ao exercício dos direitos previstos na LGPD, comunicação de incidentes de segurança, bem como para o fornecimento de informações, documentos, relatórios e registros eventualmente solicitados pela ANPD.
Importante ressaltar, entretanto, que a Resolução CD/ANPD nº 2/2022 não exime os agentes de tratamento de pequeno porte do cumprimento das demais disposições da LGPD, incluindo a observância dos princípios e bases legais para a coleta e tratamento de dados, informação de usuários quanto aos dados coletados e finalidade do tratamento, bem como o atendimento de solicitações dos titulares quanto ao exercício de seus direitos.
Vale pontuar, ainda, que entidades que pertençam a grupo econômico que, por sua vez, aufira rendimentos brutos superiores aos limites acima indicados, ou entidades que realizem tratamento de dados considerados de alto risco para seus titulares, nos termos da Resolução aprovada, não poderão se beneficiar do tratamento jurídico diferenciado, sujeitando-se às regras gerais estabelecidas pela LGPD.
Por tratamento de alto risco, entende-se aquele que atender, cumulativamente, aos critérios definidos no texto aprovado. São exemplos agentes que realizem tratamento de dados em larga escala, utilizando-se de tecnologias emergentes ou inovadoras, ou ainda aqueles que realizem tratamento de dados pessoais sensíveis com potencial para afetar significativamente interesses e direitos fundamentais dos respectivos titulares.
Nota-se que o Regulamento aprovado é um passo na direção correta para o fomento do empreendedorismo no Brasil, ao simplificar obrigações legais aplicáveis a empresas em estágio embrionário que tratem dados de usuários sem, contudo, prejudicar a proteção de dados pessoais ou a efetividade de direitos essenciais dos respectivos titulares.
O CSMV vem assessorando seus clientes na adoção de medidas necessárias para adequação ao novo regime de proteção de dados trazido pela LGPD e fica à disposição para eventuais esclarecimentos necessários.