Publicada Resolução da ANPD que Regulamenta a Aplicação da LGPD para Micro e Pequenas Empresas e Startups

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 28 de janeiro de 2022, a Resolução CD/ANPD nº 2, aprovando o Regulamento que flexibiliza a aplicação da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) para agentes de tratamento de pequeno porte. Dentre os principais diferenciais e facilitadores que foram trazidos para as micro e pequenas empresas e startups, destacamos os seguintes:

• Elaboração e manutenção do registro de operações de tratamento de dados pessoais de forma simplificada, por meio de modelo que será fornecido pela ANPD;
• Flexibilização ou procedimento simplificado de comunicação de incidente de segurança, a ser regulamentado pela ANPD;
• Dispensa de indicação do encarregado pelo tratamento de dados pessoais, devendo, no entanto, disponibilizar um canal de comunicação com o titular de dados para atender as atividades atribuídas ao encarregado pela LGPD (artigo 40, §2º). Nada obstante, de acordo com o Regulamento, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança, impactando a sanção eventualmente aplicada;
• Estabelecimento de política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais;
• Prazo em dobro para atendimento de solicitações dos titulares de dados e na comunicação à ANPD e ao titular da ocorrência de incidente de segurança.

Esse regime jurídico diferenciado não será aplicável aos agentes de pequeno porte que realizem tratamento de dados pessoais de alto risco para os titulares, considerados aqueles que atendam cumulativamente a pelo menos um critério geral (tratamento de dados pessoais em larga escala; ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares); e um critério específico (uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos), nos termos do art. 4º e incisos do Regulamento.

Igualmente, o Regulamento não será aplicável às microempresas com receita bruta superior à R$360.000,00, pequenas empresa com receita bruta superior à R$4.800.000,00, startups com receita bruta superior à R$16.000.000,00, ou que pertençam a grupo econômico cuja receita global ultrapasse os limites referidos.

A dispensa ou flexibilização das obrigações dispostas no Regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

Para um maior detalhamento a respeito das novas regras, que estão em vigor desde a publicação da Resolução, acesse o inteiro teor aqui.