No dia 28 de janeiro, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD nº 2, que aprovou o Regulamento da aplicação da Lei Federal nº 13.709/18, Lei Geral de Proteção de Dados (“LGPD”), para agentes de tratamento de pequeno porte.

O Regulamento define que são considerados agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais. Entretanto, não poderão se beneficiar do Regulamento os agentes indicados no artigo 3º, que realizarem tratamento de alto risco para os titulares, aqueles que auferirem receita bruta superior aos limites estabelecidos pela Lei Complementar nº123/06, pela Lei Complementar nº 182/21 (para startups) ou que pertençam a grupo econômico com receita global acima dos limites indicados nas Leis Complementares mencionadas.

Será considerado tratamento de alto risco aquele que atender cumulativamente pelo menos um critério geral, como: (a) o tratamento de dados pessoais em larga escala ou (b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares e um critério específico, como: (a) uso de tecnologias emergentes ou inovadoras; (b) vigilância ou controles de zonas acessíveis ao público; (c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais e; (d) utilização de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes e de idosos. A ANPD poderá disponibilizar guias e orientações para apoiar a avaliação de tratamento de alto risco, no entanto, é recomendado que os agentes de pequeno porte realizem proativamente a avaliação de suas atividades, a fim de avaliar a aplicação do Regulamento publicado.

Como benefícios trazidos pelo Regulamento, os agentes de tratamento de pequeno porte poderão registrar suas operações de tratamento de dados pessoais de forma simplificada, por meio de modelo que será fornecido pela ANPD. Além disso, a ANPD irá dispor sobre a flexibilização ou procedimento simplificado de comunicação de incidentes de segurança para esses agentes. As medidas de segurança também poderão ser simplificadas, adotando medidas essenciais e necessárias de acordo com o nível de risco à privacidade dos titulares e a realidade do agente de tratamento.

Os agentes de tratamento de pequeno porte também não precisam indicar um encarregado pelo tratamento de dados pessoais, desde que seja disponibilizado um canal de comunicação com o titular dos dados pessoais. Com relação aos prazos relacionados as solicitações de titulares, os agentes de tratamento de pequeno porte terão prazo duplicado para: (i) atender solicitações dos titulares pessoais, (ii) para comunicar à ANPD e ao titular da ocorrência de incidente de segurança (salvo se o fato puder comprometer à integridade física ou moral dos titulares ou à segurança nacional), (iii) para fornecer declaração de acesso clara e completa solicitada pelo titular sobre o tratamento de dados pessoais, e (iv) para apresentar informações, documentos, relatórios e registros solicitado pela ANPD. A ANPD ainda determinará os prazos não indicados em regulamentação específica.

Para mais informações, contate:
Vanessa Pirró
Ana Carolina Cesar
Juliana Almeida

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *