Resolução da ANPD flexibiliza a adequação à legislação de proteção de dados para agentes de pequeno porte

Por Suelen Hedissa Lucas Santos, da Dessimoni & Blanco Advogados

Em 27/01/2022 a Autoridade Nacional de Proteção de Dados (“ANPD”) divulgou a Resolução CD/ANPD nº 2, que regulamenta a aplicação da Lei Geral de Proteção de Dados – Lei nº 13.709/18 (“LGPD”) para agentes de tratamento de pequeno porte.

A resolução tem por objetivo incentivar a adequação de empresas de menor porte, e garantir, assim, proteção aos titulares dos dados pessoais.

Destacamos a seguir, os principais destaques da Resolução.

Enquadramento

São considerados agentes de tratamento de pequeno porte:

• Pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador: enquadram-se nessa definição as associações, sociedades e fundações^[1].
• Microempresas (ME): formato indicado para empresas de faturamento anual de até R$360 mil^[2];
• Empresas de pequeno porte: enquadramento indicado para negócios que têm um faturamento anual entre R$360 mil e R$ 4,8 milhões;^[3]
• Startups: de acordo com a lei, deverão atender aos seguintes requisitos: faturamento de até R$16 milhões; tempo de exercício de até 10 anos; e modelo de negócios sujeito ao Inova Simples, ou declaração, no ato constitutivo, de atuação como modelo de negócio inovador.^[4]

Contudo, os agentes de tratamento de pequeno porte que não poderão se beneficiar da regulamentação, são aqueles que:

• Realizam tratamento dealto riscopara os titulares, salvo o caso das entidades de representação da atividade empresarial com fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
• Têm receita bruta superior a R$4.800.000,00 (quatro milhões e oitocentos mil reais). Para startups, receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) ao ano;
• Pertencem a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos anteriormente.

A propósito, será considerado tratamento de alto risco, o tratamento de dados pessoais que atender, cumulativamente, a pelo menos um critério geral e um critério específico:

Critérios gerais:

• Tratamento de dados pessoais realizado em larga escala (quando abranger número significativo de titulares, considerando-se: o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado);
• Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares (por exemplo, em atividade que impeça o exercício de direitos ou utilização de serviços, assim como, ocasione danos materiais ou morais aos titulares, tais como: discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade).

Critérios específicos:

• Tratamento de dados pessoais realizado com o uso de tecnologias emergentes ou inovadoras;
• Tratamento de dados pessoais realizado com vigilância ou controle de zonas acessíveis ao público;
• Tratamento de dados pessoais com decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
• Tratamento de dados pessoais com utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Pontos de flexibilização

A Resolução prevê os seguintes pontos de flexibilização aos agentes de pequeno porte que se enquadrem nos termos e condições da referida norma:

1. Embora permaneça o dever de realizar o Registro de Atividades de Tratamento, este poderá ser feito de forma simplificada, para o qual a ANPD fornecerá modelo.

2. Mantém-se o dever de comunicação sobre “Incidentes de Segurança”, contudo o procedimento será simplificado, conforme disposição da ANPD.

3. Não são obrigados a indicar encarregado pelo tratamento de dados pessoais, contudo, deverão disponibilizar um canal de comunicação com o titular de dados para atendimento de reclamações e comunicações, prestação de esclarecimentos, e, adoção de providências. A opção pela indicação de encarregado será considerada política de boa prática e governança, critério aplicável a eventual procedimento administrativo sancionatório.

4. Deverão adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais. Serão ainda considerados o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

5. Poderão estabelecer política simplificada de segurança da informação, considerando os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.

6. Terão prazo em dobro:
   1. Para atendimento das solicitações dos titulares e nos casos de comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Não terão direito ao prazo em dobro, contudo, quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
   2. Para emitir confirmação clara e completa de existência ou o acesso a dados pessoais, a pedido do titular;
   3. Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Lembrando que o artigo 6º da resolução é expresso ao destacar que as demais disposições da LGPD (Lei nº 13.709/18) serão aplicadas normalmente aos agentes de pequeno porte.

É notável que a ANPD tem buscado contribuições da sociedade por meio de Consultas Públicas, Tomada de Subsídios e Audiências Públicas para complementar a Legislação de Proteção de Dados no Brasil, de acordo com a realidade do país.

São reconhecidamente altos os custos para adequação à LGPD tendo em vista a baixa maturidade da cultura de proteção de dados pessoais no país, e, por outro lado, a alta carga regulatória da LGPD.

Assim, entendemos que a Resolução da ANPD vem para diminuir a carga regulatória aos agentes de pequeno porte, considerando sua realidade, e incentivar sua adequação à LGPD.

^[1]De acordo com o Conselho Nacional do Ministério Público – CNMP, são Pessoas naturais e entes privados despersonalizados que realizem tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador: associações, sociedades e fundações. Iniciam sua personalidade jurídica com a inscrição do ato constitutivo no respectivo registro, precedida, quando necessário, de autorização do Poder Executivo. Ver artigo 44 e seguintes do Código Civil.

^[2]Conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006 http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm

^[3] Conforme definição dada pelas Leis nº 14.195/2021, 10.406/2002 e Lei Complementar nº 123/2006 http://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm

^[4]Leia a informação completa no site do governo: https://www.gov.br/pt-br/noticias/financas-impostos-e-gestao-publica/2021/08/lei-complementar-que-estabelece-marco-legal-das-startups-entra-em-vigor-nesta-terca-feira-31