• GCAA

Resolução Nº 2 do Conselho Diretor da ANPD: Regulamento dos Agentes de Tratamento de Pequeno Porte


Na data em que se celebra o Dia Internacional da Proteção de Dados, 28 de janeiro de 2022, foi publicada a Resolução Nº 2 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), que aprova o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte.


O Regulamento se aplica a agentes de tratamento enquadrados como de pequeno porte, dentre eles microempresas, empresas de pequeno porte e startups. Em contrapartida, há limitações ao benefício de tratamento jurídico diferenciado: não estão abarcados os agentes de tratamento de pequeno porte que (i) realizem tratamento de alto risco para os titulares, conforme definido no art. 4º do Regulamento; (ii) empresa de pequeno porte que aufira receita bruta superior a R$ 4.800.000,00 e startups que aufiram receita bruta superior a R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses; e/ou (iii) pertençam a grupo econômico cuja receita global também ultrapasse tais valores.


Em outras palavras, estes agentes não poderão aproveitar as isenções previstas por este Regulamento.


A definição de alto risco inclui tratamentos: de larga escala; que possam afetar os interesses e direitos fundamentais dos titulares; que utilizem tecnologias emergentes ou inovadoras; que realize vigilância ou controle de zonas acessíveis ao público; decisões exclusivamente automatizadas; e que utilize dados sensíveis ou de menores e idosos. O último critério acaba por afastar as isenções e flexibilizações aos agentes de tratamento de pequeno porte que realizem o tratamento de dados sensíveis e/ou de menores e idosos, contexto bastante presente na rotina de muitos agentes.


O Regulamento em questão traz algumas flexibilizações aos agentes de tratamento quanto às obrigações previstas na LGPD. Para os agentes de pequeno porte, possibilitou-se a organização em entidades de representação para fins de negociação, mediação e conciliação de reclamações apresentadas pelos titulares; e a elaboração e manutenção de forma simplificada do registro de operações de tratamento.


Estes agentes também não têm a obrigação de indicar encarregado (também conhecido como Data Protection Officer – DPO), desde que haja um canal de comunicação com o titular. Ainda, será concedido prazo em dobro a estes agentes para atendimento às solicitações dos titulares, comunicação de incidentes de segurança à ANPD e ao titular, fornecimento de declaração quando o titular requisitar informações sobre a confirmação de existência de tratamento ou acesso a seus dados; e demais prazos nos normativos próprios da ANPD. As informações aos titulares podem ser disponibilizadas de forma eletrônica, impressa ou qualquer meio que assegure os direitos previstos na LGPD e acesso facilitado às informações.


É importante ressaltar que as dispensas e flexibilizações das obrigações trazidas pelo Regulamento não afastam o cumprimento dos demais dispositivos da LGPD. Além disso, o Regulamento evidencia, em linha com a redação da LGPD, que a implementação das obrigações trazidas por esta lei voluntariamente, ainda que haja hipótese de dispensa ou flexibilização, será considerada uma boa prática de prevenção e segurança, o que poderá beneficiar o agente de tratamento em eventual sanção administrativa no caso de incidente de segurança.


O GCAA possui experiência em adequação à LGPD, inclusive em empresas de pequeno porte e está à disposição para apoiá-los na implementação em linha com o disposto no Regulamento.


Para mais informações, contate-nos: contato@gcaa.com.br.

Tae Young Cho - tae@gcaa.com.br

Nariman Ferdinian Gonzales - nariman.gonzales@gcaa.com.br


#gcaa

#gonsalesechoadvogadosassociados

#alessandragonsales

#taeyoungcho

#lgpdmicroempresas

#anpd

#compliance

#governanca