ANPD publica regulamento que flexibiliza a aplicação da LGPD a microempresas, empresas de pequeno porte, startups e associações sem fins lucrativos

Foi publicada na última sexta-feira (28/01) a Resolução n.º 02/2022, da Autoridade Nacional de Proteção de Dados (“ANPD”), que aprova o Regulamento de aplicação da Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”), para agentes de tratamento de pequeno porte, contemplando microempresas, empresas de pequeno porte, startups, associações sem fins lucrativos, dentre outros.

O Regulamento, que contou com a contribuição da comunidade por meio de consulta e audiência públicas ocorridas no segundo semestre de 2021, flexibiliza a aplicação da LGPD para pequenas empresas, ou seja, agentes de tratamento de pequeno porte, por meio de procedimentos simplificados e prazos diferenciados.

Ainda, referido Regulamento encontra respaldo no artigo 55-J, XVIII, da LGPD, que confere à ANPD competência para editar normas e procedimentos desta natureza, objetivando viabilizar a adequação à LGPD de microempresas e empresas de pequeno porte, incluindo startups ou empresas de inovação.

O objetivo do novo Regulamento é permitir que agentes de tratamento de pequeno porte tenham condições de se adequar à LGPD, reduzindo o ônus e as dificuldades que os rígidos requisitos estabelecidos pela Lei poderiam ter sobre seus negócios e atividades.

A quem se aplica o Regulamento?

Podem ser enquadrados como agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups,[1] pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.[2]

Neste contexto, independentemente da natureza jurídica do agente, as flexibilizações previstas no Regulamento não serão aplicáveis – ou seja, prevalecerão as regras gerais da LGPD – nas seguintes situações:

• quando o tratamento de dados for considerado de alto risco para os titulares;
• quando os agentes de tratamento auferirem receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 (i.e., receita bruta superior a R$ 4,8 milhões por ano); ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021 (i.e., receita bruta superior a R$ 16 milhões por ano); ou
• quando os agentes de tratamento pertencerem a grupo econômico, de fato ou de direito, cuja receita global ultrapasse os limites referidos acima.

A ANPD poderá solicitar ao agente de tratamento que comprove o seu enquadramento nas situações de aplicação da Resolução, em prazo de quinze dias.

Importante destacar que, nos termos do artigo 16 do Regulamento, a dispensa ou flexibilização de regras nele previstas não é absoluta. A ANPD poderá determinar, considerando circunstâncias concretas (ainda que não enquadradas objetivamente nas hipóteses apresentadas adiante), que os agentes de tratamento de pequeno porte cumpram obrigações inicialmente dispensadas ou flexibilizadas pelo Regulamento.

Quando as atividades de tratamentos de dados pessoais são consideradas de alto risco para os titulares, não estando, portanto, sujeitas ao Regulamento?

Para fins do Regulamento, serão considerados de alto risco as atividades de tratamentos de dados pessoais que atenderem, cumulativamente, a pelo menos um critério geral e um critério específico dentre os seguintes:

Quanto ao tratamento de dados pessoais em larga escala, o Regulamento o define como aquele que abrange número significativo de titulares. Tal qualificação também deverá levar em consideração o volume de dados envolvidos, a duração, frequência e extensão geográfica do tratamento. Trata-se de definição vaga que deverá ser objeto de avaliação de riscos caso a caso.

O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais, por sua vez, será caracterizado, dentre outras situações, quando puder impedir o exercício de direitos ou a utilização de um serviço, ou potencialmente ocasionar danos aos titulares.

Ainda, reforçando o papel orientativo da ANPD, a Resolução prevê que a Autoridade poderá disponibilizar guias e orientações para auxiliar os agentes de tratamento de pequeno porte quanto à avaliação do risco de suas atividades.

Quais obrigações da LGPD são flexibilizadas pelo Regulamento?

• Atendimento aos direitos do titular (arts. 18 e 19 da LGPD): a transparência sobre os tratamentos de dados pessoais realizados e o atendimento às requisições dos titulares pode ser feito por meio eletrônico, impresso, ou qualquer outro que assegure os direitos dos titulares e o fácil acesso às suas informações;
• Registros de atividades de tratamento (art. 37, LGPD): os agentes de tratamento de pequeno porte não estão dispensados de registrar suas atividades de tratamento, porém poderão fazê-lo de forma simplificada, conforme modelo a ser disponibilizado pela ANPD;
• Encarregado de proteção de dados/DPO (art. 41, LGPD): o Regulamento dispensa a obrigação de indicar um encarregado pelo tratamento de dados pessoais (Data Protection Officer – DPO). Contudo, caso o agente de tratamento de pequeno porte opte pela não nomeação, ainda assim deverá disponibilizar um canal de comunicação efetivo com os titulares;

• Resposta a incidentes de segurança (art. 48, LGPD): a ANPD poderá dispor sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança da informação em regulamentação específica;
• Obrigações relacionadas à implementação de medidas de segurança da informação: o Regulamento reconhece a necessidade de compatibilização das medidas administrativas e técnicas de proteção dos dados pessoais com a realidade de cada agente de tratamento e o grau de risco à privacidade dos titulares de dados tratados, incluindo a possibilidade de adoção de política simplificada de segurança da informação;[3]
• Prazos diferenciados: prazo em dobro para i) atendimento às solicitações dos titulares (art. 18; LGPD); ii) confirmação de existência ou o acesso a dados pessoais por meio de declaração completa (art. 19,II, LGPD); iii) comunicação obrigatória de incidente de segurança à ANPD e aos titulares, exceto quando houver potencial comprometimento à integridade dos titulares ou à segurança nacional; iv) prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento. Além disso, o Regulamento estabelece o prazo de 15 dias para a confirmação de existência ou o acesso a dados pessoais por meio de declaração simplificada (art. 19, I, LGPD).

Importante destacar, por fim, que a adoção das medidas de adequação à LGPD, como a indicação de DPO, o atendimento às recomendações de prevenção e segurança e a existência de política simplificada de segurança da informação serão positivamente consideradas entre os parâmetros e critérios de aplicação de sanções administrativas pela ANPD.

A equipe de Tecnologia e Proteção de Dados d0 Lefosse está à disposição para auxiliar seus clientes na aplicação do referido Regulamento aos seus negócios, bem como para quaisquer esclarecimentos a respeito da LGPD para pequenas e grandes empresas.

[1] Independentemente da forma societária adotada, os agentes de tratamento que possuam receita bruta máxima estabelecida no art. 4º, §1º, inciso I, do Marco Legal das Startups também serão considerados agentes de tratamento de pequeno porte para os fins do regulamento.

[2] Nos termos do art. 5º, VI e VII da LGPD: “controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

[3]    Nesse sentido, a ANPD já disponibilizou Guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte, disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf.