Aprovado o regulamento da LGPD para ME, EPP, MEI, startups e demais agentes de pequeno porte
Fonte: IOB.com
LGPD – Aprovado o regulamento da LGPD para ME, EPP, MEI, startups e demais agentes de pequeno porte
Por meio da Resolução CD/ANPD nº 2/2022 foi aprovado o Regulamento da Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.709/2018 e destina-se aos agentes de tratamento de pequeno porte.
Entre as disposições ora introduzidas, destacamos as seguintes informações:
- a) a quem se aplica: para efeitos deste regulamento consideram-se agentes de tratamento de pequeno porte:
a.1) microempresas (ME) e empresas de pequeno porte (EPP): sociedade empresária, sociedade simples, sociedade limitada unipessoal, e o empresário, incluído o microempreendedor individual (MEI);
a.2) startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182/2021;
a.3) pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
a.4) zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros;
- b) exceções:não se aplica ao tratamento de dados pessoais na forma do regulamento em referência;
b.1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como nas demais hipóteses previstas no art. 4º da LGPD;
b.2) os agentes de tratamento de pequeno porte que:
b.2.1) realizem tratamento de alto risco para os titulares, ressalvada a hipótese de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
b.2.3) aufiram receita bruta superior a:
b.2.3.1) R$ 4.800.000,00, no caso de empresas do Simples Nacional;
b.2.3.2) R$ 16.000.000,00, no caso de startups; ou
b.2.3.3) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites previstos para empresas do Simples Nacional, conforme o caso;
- c) tratamento de alto risco:para fins do regulamento, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
c.1) critérios gerais: tratamento de dados pessoais em larga escala; ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
c.2) critérios específicos: uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado dedados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos;
- d) regras específicas para tratamento de dados pessoais pelos agentes de tratamento de pequeno porte: a dispensa ou flexibilização das obrigações previstas no referido regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares, observando-se o seguinte:
d.1) disponibilização de dados dos titulares: os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio: eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
d.2) registro e manutenção de dados pessoais simplificado: os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada. A ANPD fornecerá modelo para o registro simplificado;
d.3) comunicações dos incidentes de segurança: a ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica;
d.4) dispensa de indicação de encarregado: os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD, observando-se que:
d.4.1) o agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD;
d.4.2) indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD;
- e) segurança e boas práticas: os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento (exemplo de segurança e boas práticas são os guias orientativos);
- f) prazos diferenciados:os agentes de tratamento de pequeno porte:
f.1) terão prazo em dobro:
f.1.2) no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;
f.1.3) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;
f.1.4) no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;
f.1.5) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento;
f.2) prazo de 15 dias – declaração simplificada: os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada de confirmação de existência ou o acesso a dados pessoais será fornecido no prazo de até 15 dias, contados da data do requerimento do titular;
f.3) outros prazos: os prazos não dispostos no regulamento para agentes de tratamento de pequeno porte serão determinados por regulamentação específica;
No mais, à critério da ANPD, poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
(Resolução CD/ANPD nº 2/2022 – DOU de 28.01.2022)
Fonte: Editorial IOB
]