Desde 2020, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a adequação dos processos que tratam dados pessoais nas organizações se tornou obrigatória. Por conta disso, a proteção de dados deve ser uma prioridade não apenas para as grandes corporações, mas também para micro e pequenas empresas, inclusive para o microempreendedor individual.
Neste contexto, com o intuito de auxiliar os agentes de tratamento de pequeno porte, a ANPD aprovou em 2022 uma Resolução visando facilitar a aplicação da LGPD por estes agentes, simplificando algumas das obrigações da lei.
Veja a Resolução CD/ANPD nº 2/2022 completa.
A seguir trarei os principais pontos sobre esta regulamentação que todo agente de pequeno porte precisa saber para garantir sua conformidade com a LGPD.
1. Quem se qualifica como agente de tratamento de pequeno porte
A ANPD qualificou os agentes de pequeno porte como: “microempresa, empresa de pequeno porte, startup, pessoa jurídica de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoa natural e ente privado despersonalizado que realize tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.
Sendo assim, podem ser classificados como agentes de pequeno porte:
a. Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada - conforme o art. 41 da Lei 14.195/2021 - e o empresário - que se enquadre no art. 966 do Código Civil -, incluindo o microempreendedor individual (MEI), - nos moldes do artigo 3º e 18º-A, §1º da Lei Complementar nº 123/2006;
b. Startups: organizações empresariais ou societárias com atuação voltada para inovação aplicada a modelo de negócio, produto ou serviço – atendendo aos critérios previstos no Capítulo II da Lei Complementar nº 182/2021;
c. Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente: aqueles que são exclusivamente associações, organizações religiosas, partidos políticos e fundações;
d. Pessoas naturais: profissionais liberais ou autônomos que tratam dados pessoais;
e. Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Além da definição acima, deve-se observar os critérios de exceção, os quais indicam os agentes de pequeno porte que não poderão se beneficiar do tratamento diferenciado. Neste caso, os agentes que não serão beneficiados pela Resolução CD/ANPD nº 2/2022 são aqueles que:
a. Auferem receita bruta anual superior a R$ 4.800.000 - art. 3º, II da Lei Complementar 123/2006; ou, no caso de startups, receita bruta anual superior a R$ 16.000.000;
b. Não devem pertencer a grupo econômico cuja receita global ultrapasse R$ 4.800.000; ou
c. Realizam tratamento de dados de alto risco*.
*O que é considerado tratamento de alto risco?
Tratamento de alto risco é qualquer tratamento de dados que atenda a pelo menos um critério geral e um critério específico dos elencados a seguir:
a. critérios gerais:
i. tratamento de dados pessoais em larga escala, ou seja, o tratamento que abrange um número significativo de titulares, considerando o volume de dados tratados, a duração, a frequência e a extensão geográfica do tratamento realizado;
ii. tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares; pode ser caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
b. critérios específicos:
i. uso de novas tecnologias ou inovadoras;
ii. vigilância ou controle de zonas acessíveis ao público;
iii. decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
iv. utilização de dados pessoais sensíveis ou de dados pessoais de titulares vulneráveis como, crianças, de adolescentes e de idosos.
Desta forma, caso o tratamento atenda um critério geral e um critério específico, o agente, mesmo sendo de pequeno porte, não poderá se beneficiar da flexibilização da LGPD permitida pela Resolução CD/ANPD nº 2/2022.
2. Obrigações para agentes de tratamento de pequeno porte
É importante lembrar que a flexibilização de algumas obrigações estabelecidas pela LGPD, não isenta os agentes de tratamento de pequeno porte das demais obrigações da Lei. Ou seja, a regulamentação visa auxiliar os agentes no controle dos processos de tratamento de dados pessoais, mas não os desobriga de cumprir a Lei.
Portanto, os agentes de pequeno porte devem:
respeitar os princípios da LGPD;
atender as bases legais para o tratamento de dados pessoais;
garantir os direitos dos titulares de dados;
disponibilizar informações sobre o tratamento de dados pessoais de forma clara e adequada;
atender às requisições dos titulares por meio eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares;
registrar as atividades de tratamento de dados de forma simplificada, conforme modelo da ANPD.
3. Obrigações flexibilizadas para agentes de tratamento de pequeno porte
3.1. Prazos diferenciados para atendimento de solicitações de titulares
A ANPD flexibilizou os prazos para os agentes de pequeno porte atenderem solicitações de titulares e comunicarem a ocorrência de incidentes de segurança, quando aplicável. De forma geral, estes agentes terão o dobro do prazo, estipulado na LGPD e regulamentos relacionados, para cumprirem suas obrigações. Isto inclui, prazos estabelecidos em normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Nas seguintes situações, os prazos já foram definidos:
a. Atendimento às solicitações dos titulares, referente ao tratamento de dados pessoais;
em relação a confirmação de existência ou o acesso a dados pessoais, a solicitação poderá ser atendida em até:
15 dias após requisição do titular, para declaração simplificada; ou
30 dias, contados da data do requerimento do titular, para declaração clara e completa;
b. Comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o prazo será de:
6 dias úteis a partir da data de conhecimento de que o incidente afetou dados pessoais;
40 dias úteis a partir da data de comunicação do incidente, para complementar as informações.
3.2. Encarregado de dados
Não há obrigatoriedade na indicação do Encarregado de dados, porém é necessário disponibilizar um canal de comunicação com o titular de dados.
3.3. Modelo simplificado para Registro de Operações com dados pessoais
Para facilitar o registro do tratamento de dados, a ANPD criou um modelo simplificado para os agentes de pequeno porte. Este documento inclui 8 campos para preenchimento, sendo:
informações de contato da organização;
categorias de titulares de dados pessoais;
dados pessoais tratados;
compartilhamento dos dados com terceiros;
medidas de segurança;
período de armazenamento dos dados pessoais;
processo, finalidade e hipótese legal do tratamento, e;
observações.
3.4. Segurança e boas práticas
Os agentes de pequeno porte também devem adotar medidas administrativas e técnicas com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
E, para facilitar este trabalho, a ANPD publicou um guia orientativo de segurança da informação direcionado aos agentes de tratamento de pequeno porte. Neste guia são elencadas medidas administrativas e técnicas de segurança da informação que devem ser adotados pelos agentes. Junto com o guia, também há um checklist com as medidas de segurança para facilitar o controle da implementação das medidas.
Entre as medidas administrativas incluídas no guia estão:
Política simplificada de segurança da informação;
Conscientização e treinamento dos funcionários;
Gerenciamento de contratos observando as cláusulas da LGPD e adoção de termos de confidencialidade (non-disclosure agreement - NDA), quando necessário;
Em relação as medidas técnicas foram destacadas:
Controle de acesso para garantir que os dados sejam acessados somente por pessoas autorizadas;
Segurança dos dados pessoais armazenados;
Segurança das comunicações;
Manutenção de programa de gerenciamento de vulnerabilidades;
Medidas relacionadas ao uso de dispositivos móveis;
Medidas relacionadas ao serviço em nuvem.
4. Desafios para a adequação de micro e pequenas empresas
Estar em conformidade com a LGPD é uma obrigação legal e, também, uma oportunidade de rever os processos internos da empresa e adotar controles de segurança da informação eficazes para a realidade de sua empresa. Contudo, apesar dos benefícios, o processo de adequação à LGPD pode apresentar desafios para micro e pequenas empresas. Dentre eles, destaco três desafios mais comuns a estes agentes:
Recursos limitados: pequenas empresas podem não dispor de recurso financeiro e humanos que grandes corporações têm para investir em medidas de segurança robustas e soluções automatizadas de gerenciamento de dados.
Falta de conhecimento técnico: mesmo com a flexibilização de algumas obrigações, a LGPD pode ser complexa e difícil de entender.
Dificuldade de gerenciamento: dependendo da quantidade de processos e o volume de dados tratados pode ser necessário ter um profissional disponível para atender esta nova demanda, inclusive as solicitações dos titulares e da ANPD.
Para solucionar estas questões, um caminho pode ser a contratação de uma consultoria independente que consiga atender as necessidades específicas da sua empresa. Designar um especialista para executar o trabalho eliminará a falta de conhecimento técnico e a dificuldade de gerenciamento. Além disso, com a metodologia adequada, o profissional conseguirá priorizar tarefas e auxiliar na implantação das medidas de segurança necessárias sem gerar custos desnecessários.
Para avaliar se essa é a melhor solução para sua empresa, que tal agendar uma reunião com nossos consultores especializados em adequação à LGPD? Será um prazer receber seu contato. | WhatsApp 41 3040-6048.
Pontos de atenção
Para finalizar, gostaria de ressaltar alguns pontos que os agentes precisam ter atenção:
É dever do agente de tratamento de pequeno porte comprovar, por meio de documentação dos processos e análises, que se enquadra nesta categoria. Caso questionado pela ANPD, o agente tem até quinze dias para responder a Autoridade.
A ANPD pode reduzir a flexibilidade dos agentes de pequeno porte dependendo de circunstâncias, como a natureza ou o volume das operações, assim como os riscos para os titulares.
Apesar de não ser obrigatória a indicação de encarregado de dados por parte do agente, esta será considerada uma política de boas práticas e governança pela Autoridade Nacional.
A política de segurança da informação, mesmo que simplificada, também será considerada pela ANPD uma demonstração da adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais. Essa medida também poderá atenuar as sanções administrativas, em caso de violação de dados.
Julio C. Segantini
Consultor de Privacidade e Proteção de Dados Pessoais
Julio é um profissional experiente com mais de 35 anos no mercado de TIC e 20 anos em consultoria empresarial. Possui pós-graduações em Marketing, Perícia Forense Computacional e Consultoria Empresarial, além de um MBA em Negócios Digitais e Inteligência Financeira. Sua expertise em gestão e tecnologia aliados a suas certificações internacionais em privacidade e proteção de dados o torna um profissional completo e altamente qualificado para auxiliar as empresas em seu compliance com a LGPD.
Kommentare