ANPD publica a resolução CD/ANPD n°02, regulamentando a LGPD para agentes de tratamento de pequeno porte


ANPD publica a resolução CD/ANPD n°02, regulamentando a LGPD para agentes de tratamento de pequeno porte


O que muda? 

O Regulamento visa facilitar a adaptação e adequação de agentes de tratamento de pequeno porte e garantir os direitos dos titulares de dados. 

Quem são os agentes de pequeno porte? 

  • Microempresas e empresas de pequeno porte, como sociedades empresárias, sociedades simples, sociedades limitadas unipessoais e microempreendedores individuais; 
  • Startups
  • Zonas acessíveis ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas. 

Atenção: existem exceções! Não poderão se beneficiar do tratamento jurídico diferenciado os agentes de pequeno porte que: 

  • Realizem tratamento de alto risco para os titulares, com tecnologias de vigilância ou controle de zonas acessíveis ao público; 
  • Aufiram receita bruta ou pertençam a grupo econômico cuja receita seja superior a R$ 360.000,00 (trezentos e sessenta mil reais) ou, no caso de startups, com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior*  

* ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada. 

Quais as novas regras?

  • Os agentes de pequeno porte se submetem à fiscalização da ANPD, mas não são obrigados a indicar um DPO.
  • A obrigação de disponibilização de um canal de comunicação com o titular de dados continua valendo!
  • Adoção de política simplificada de segurança da informação, desde que garantida a proteção contra acessos não autorizados. 
  • Elaboração de Registro de Operações de Tratamento de Dados de forma simplificada, com modelo da própria ANPD;
  • Prazo dobrado para atender as solicitações dos titulares e da ANPD, e para comunica-los sobre a ocorrência de incidentes de segurança. 

IMPORTANTE!

A dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, incluindo o processamento de dados fundamentado em bases legais adequadas e em respeito aos princípios norteadores. 

As flexibilizações são aplicáveis a todos os agentes de pequeno porte? A resposta é não. 

O regulamento prevê que não poderão se beneficiar de tratamento jurídico diferenciado as empresas de pequeno porte e startups que realizem tratamento de alto risco.

  • O que pode ser considerado tratamento de alto risco? 

Critérios Gerais

I. Operações com dados pessoais em larga escala;

II. Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Critérios Específicos

I. Uso de tecnologias emergentes ou inovadoras; 

II. Vigilância ou controle de espaços abertos ao público; 

III. Decisões com base em tratamento automatizado de dados pessoais;

IV. Utilização de dados pessoais sensíveis ou dados pessoais de crianças e adolescentes e idosos

Ainda, a ANPD tornou facultativo aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Mas atenção! As flexibilizações trazidas pelo regulamento não devem desincentivar as empresas a adotarem políticas internas de proteção de dados.