Em janeiro de 2022 a Autoridade Nacional de Proteção de Dados (ANPD) publicou sua segunda resolução, desta vez para aprovar o regulamento de aplicação da Lei Geral de Proteção de Dados (LGPD) para os agentes de pequeno porte.
A própria LGPD já previa a necessidade de simplificação das regras de adequação para as MPE e Startups, e o regulamento, a nosso ver, trouxe clareza e se adequou a realidade destes atores.
Em primeiro lugar a ANPD se preocupou em estabelecer precisamente quem são os agentes de pequeno porte abrangidos pela regulamentação (art. 2°), esclarecendo serem eles (i) as microempresas; (ii) empresas de pequeno porte; (iii) startups; e (iv) as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Fez muito bem a ANPD, ainda, em deixar evidente aquelas empresas que, mesmo se enquadrando nas características de agente de pequeno porte, em razão da natureza de sua atividade comercial não poderão se beneficiar do tratamento automatizado (art. 3°), sendo selas:
I – realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;
II – aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
III – pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.
O regulamento se preocupou, também, nos artigos 4° e 5° em estabelecer outros conceitos que facilitam seu entendimento e aplicação.
Quanto à flexibilização das regras a estes agentes, a ANPD atendeu o anseio e a preocupação de muitos empresários e dispensou a obrigatoriedade da nomeação do Encarregado de Dados (ou DPO, segundo a denominação européia), mas mantendo a necessidade de se disponibilizar um canal de comunicação com o titular de dados.
Outro ponto muito interessante neste sentido foi a redação do §2° do artigo 11, que reconheceu como sendo uma política de boa prática e governança a nomeação de um encarregado de dados pelas empresas de pequeno porte e, consequentemente, um critério positivo a ser levado em consideração em caso de algum auto de infração.
O regulamento prevê, ainda, prazo em dobro para os agentes de pequeno porte atenderem as solicitações dos titulares de dados pessoais, comunicarem a ANPD e os titulares em caso de algum incidente de segurança, nos termos da legislação, fornecerem a declaração completa de existência de tratamento de dados pessoais que prevê o artigo 19, inciso II da LGPD, assim como cumprirem outros prazos normativos para apresentação de informações, documentos, relatórios, entre outros solicitados pela ANPD.
Vale mencionar, também, a possibilidade de se elaborar uma política simplificada de segurança de informação, o registro simplificado das atividades de tratamento, que será objeto de um modelo a ser elaborado e disponibilizado pela ANPD, e a flexibilização nas comunicações de incidente de segurança, nos termos da regulamentação específica.
Acesse os documentos:
Guia Orientativo de Segurança da Informação para Agentes de Pequeno Porte
Checklist de Medidas de Segurança para Agentes de Tratamento de Pequeno Porte