O que muda?
O Regulamento visa facilitar a adaptação e adequação de agentes de tratamento de pequeno porte e garantir os direitos dos titulares de dados.
Quem são os agentes de pequeno porte?
- Microempresas e empresas de pequeno porte, como sociedades empresárias, sociedades simples, sociedades limitadas unipessoais e microempreendedores individuais;
- Startups;
- Zonas acessíveis ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas.
Atenção: existem exceções! Não poderão se beneficiar do tratamento jurídico diferenciado os agentes de pequeno porte que:
- Realizem tratamento de alto risco para os titulares, com tecnologias de vigilância ou controle de zonas acessíveis ao público;
- Aufiram receita bruta ou pertençam a grupo econômico cuja receita seja superior a R$ 360.000,00 (trezentos e sessenta mil reais) ou, no caso de startups, com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior*
* ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada.
Quais as novas regras?
- Os agentes de pequeno porte se submetem à fiscalização da ANPD, mas não são obrigados a indicar um DPO.
- A obrigação de disponibilização de um canal de comunicação com o titular de dados continua valendo!
- Adoção de política simplificada de segurança da informação, desde que garantida a proteção contra acessos não autorizados.
- Elaboração de Registro de Operações de Tratamento de Dados de forma simplificada, com modelo da própria ANPD;
- Prazo dobrado para atender as solicitações dos titulares e da ANPD, e para comunica-los sobre a ocorrência de incidentes de segurança.
IMPORTANTE!
A dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, incluindo o processamento de dados fundamentado em bases legais adequadas e em respeito aos princípios norteadores.
As flexibilizações são aplicáveis a todos os agentes de pequeno porte? A resposta é não.
O regulamento prevê que não poderão se beneficiar de tratamento jurídico diferenciado as empresas de pequeno porte e startups que realizem tratamento de alto risco.
- O que pode ser considerado tratamento de alto risco?
Critérios Gerais
I. Operações com dados pessoais em larga escala;
II. Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares.
Critérios Específicos
I. Uso de tecnologias emergentes ou inovadoras;
II. Vigilância ou controle de espaços abertos ao público;
III. Decisões com base em tratamento automatizado de dados pessoais;
IV. Utilização de dados pessoais sensíveis ou dados pessoais de crianças e adolescentes e idosos
Ainda, a ANPD tornou facultativo aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Mas atenção! As flexibilizações trazidas pelo regulamento não devem desincentivar as empresas a adotarem políticas internas de proteção de dados.