Por meio da
Resolução CD/ANPD nº 2/2022 foi
aprovado o Regulamento da Lei Geral de Proteção de Dados Pessoais (LGPD),
instituída pela Lei nº 13.709/2018 e
destina-se aos agentes de tratamento de pequeno porte.
Entre as disposições ora introduzidas,
destacamos as seguintes informações:
a) a quem se aplica: para efeitos deste regulamento
consideram-se agentes de tratamento de pequeno porte:
a.1) microempresas (ME) e empresas de pequeno porte (EPP): sociedade
empresária, sociedade simples, sociedade limitada unipessoal, e o empresário,
incluído o microempreendedor individual (MEI);
a.2) startups: organizações empresariais ou societárias, nascentes ou em
operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo
de negócios ou a produtos ou serviços ofertados, que atendam aos critérios
previstos no Capítulo II da Lei Complementar nº 182/2021 ;
a.3) pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos
termos da legislação vigente, bem como pessoas naturais e entes privados
despersonalizados que realizam tratamento de dados pessoais, assumindo
obrigações típicas de controlador ou de operador;
a.4) zonas acessíveis ao público: espaços abertos ao público, como praças,
centros comerciais, vias públicas, estações de ônibus, de metrô e de trem,
aeroportos, portos, bibliotecas públicas, dentre outros;
b) exceções: não se aplica ao tratamento de dados
pessoais na forma do regulamento em referência;
b.1) realizado por pessoa natural para fins exclusivamente particulares e não
econômicos, bem como nas demais hipóteses previstas no art. 4º da LGPD;
b.2) os agentes de tratamento de pequeno porte que:
b.2.1) realizem tratamento de alto risco para os titulares, ressalvada a
hipótese de se organizarem por meio de entidades de representação da atividade
empresarial, por pessoas jurídicas ou por pessoas naturais para fins de
negociação, mediação e conciliação de reclamações apresentadas por titulares de
dados;
b.2.3) aufiram receita bruta superior a:
b.2.3.1) R$ 4.800.000,00, no caso de empresas do Simples Nacional;
b.2.3.2) R$ 16.000.000,00, no caso de startups; ou
b.2.3.3) pertençam a grupo econômico de fato ou de direito, cuja receita global
ultrapasse os limites previstos para empresas do Simples Nacional, conforme o
caso;
c) tratamento de alto risco: para fins do
regulamento, será considerado de alto risco o tratamento de dados pessoais que
atender cumulativamente a pelo menos um critério geral e um critério
específico, dentre os a seguir indicados:
c.1) critérios gerais: tratamento de dados pessoais em larga escala; ou
tratamento de dados pessoais que possa afetar significativamente interesses e
direitos fundamentais dos titulares;
c.2) critérios específicos: uso de tecnologias emergentes ou inovadoras;
vigilância ou controle de zonas acessíveis ao público; decisões tomadas
unicamente com base em tratamento automatizado dedados pessoais, inclusive
aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de
consumo e de crédito ou os aspectos da personalidade do titular; ou utilização
de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e
de idosos;
d) regras específicas para tratamento de dados pessoais pelos agentes
de tratamento de pequeno porte: a dispensa ou flexibilização
das obrigações previstas no referido regulamento não isenta os agentes de
tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD,
inclusive das bases legais e dos princípios, de outras disposições legais,
regulamentares e contratuais relativas à proteção de dados pessoais, bem como
direitos dos titulares, observando-se o seguinte:
d.1) disponibilização de dados dos titulares: os
agentes de tratamento de pequeno porte devem disponibilizar informações sobre o
tratamento de dados pessoais e atender às requisições dos titulares em
conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio: eletrônico,
impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso
facilitado às informações pelos titulares.
d.2) registro e manutenção de dados pessoais simplificado: os
agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração
e manutenção de registro das operações de tratamento de dados pessoais,
constante do art. 37 da LGPD, de forma simplificada. A ANPD fornecerá modelo
para o registro simplificado;
d.3) comunicações dos incidentes de segurança: a ANPD
disporá sobre flexibilização ou procedimento simplificado de comunicação de
incidente de segurança para agentes de tratamento de pequeno porte, nos termos
da regulamentação específica;
d.4) dispensa de indicação de encarregado: os agentes
de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo
tratamento de dados pessoais exigido no art. 41 da LGPD, observando-se que:
d.4.1) o agente de tratamento de pequeno porte que não indicar um encarregado
deve disponibilizar um canal de comunicação com o titular de dados para atender
o disposto no art. 41, § 2º, I da LGPD;
d.4.2) indicação de encarregado por parte dos agentes de tratamento de pequeno
porte será considerada política de boas práticas e governança para fins do
disposto no art. 52, §1º, IX da LGPD;
e) segurança e boas práticas: os agentes de
tratamento de pequeno porte devem adotar medidas administrativas e técnicas
essenciais e necessárias, com base em requisitos mínimos de segurança da
informação para proteção dos dados pessoais, considerando, ainda, o nível de
risco à privacidade dos titulares de dados e a realidade do agente de
tratamento (exemplo de segurança e boas práticas são os guias orientativos);
f) prazos diferenciados: os agentes de tratamento de
pequeno porte:
f.1) terão prazo em dobro:
f.1.2) no atendimento das solicitações dos titulares referentes ao tratamento
de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos
termos de regulamentação específica;
f.1.3) na comunicação à ANPD e ao titular da ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares, nos termos
de regulamentação específica, exceto quando houver potencial comprometimento à
integridade física ou moral dos titulares ou à segurança nacional, devendo,
nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de
tratamento, conforme os termos da mencionada regulamentação;
f.1.4) no fornecimento de declaração clara e completa, prevista no art. 19, II
da LGPD;
f.1.5) em relação aos prazos estabelecidos nos normativos próprios para a
apresentação de informações, documentos, relatórios e registros solicitados
pela ANPD a outros agentes de tratamento;
f.2) prazo de 15 dias - declaração simplificada: os
agentes de tratamento de pequeno porte podem fornecer a declaração simplificada
de confirmação de existência ou o acesso a dados pessoais será fornecido no
prazo de até 15 dias, contados da data do requerimento do titular;
f.3) outros prazos: os prazos não dispostos no
regulamento para agentes de tratamento de pequeno porte serão determinados por
regulamentação específica;
No mais, à critério da ANPD, poderá
determinar ao agente de tratamento de pequeno porte o cumprimento das
obrigações dispensadas ou flexibilizadas no regulamento, considerando as
circunstâncias relevantes da situação, tais como a natureza ou o volume das
operações, bem como os riscos para os titulares.
(Resolução
CD/ANPD nº 2/2022 - DOU de
28.01.2022)
Fonte: Editorial IOB