Autoridade Nacional de Proteção de Dados (ANPD) regulamenta a proteção de dados pessoais para empresas de pequeno porte

February 7, 2022

A Autoridade Nacional de Proteção de Dados (ANPD), responsável pelo fomento e controle da Lei Geral de Proteção de Dados (LGPD) no Brasil começou o ano de 2022 já publicando a Resolução CD/ANPD nº 2, em 27 de janeiro de 2022, aprovando o regulamento de aplicação da LGPD – Lei 13.709/2018 para agentes de tratamento de pequeno porte.

Com respeito à referida norma é interessante notar as seguintes definições já consideradas pela ANPD:

TERMO DEFINIÇÃO
Agentes de tratamento de pequeno porte Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
Microempresas e empresas de pequeno porte sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
Startups organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e
Zonas acessíveis ao público espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Ainda assim, a resolução citada acima proíbe às empresas de pequeno porte terem suas obrigações com respeito à LGPD simplificadas nos termos dessa resolução se:

  1. Realizarem tratamento de alto risco para os titulares, ressalvada a hipótese de organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
  2. Auferirem receita bruta superior a R$ 4,8 milhões e, no caso de startups, receita bruta no ano anterior superior a R$ 16 milhões.
  3. Pertencerem a grupo econômico de fato ou de direito, cuja receita global ultrapasse a R$ 4,8 milhões e, no caso de startups, receita bruta no ano anterior superior a R$ 16 milhões.

O termo “tratamento de alto risco” poderia gerar uma série de dúvidas, mas a ANPD não perdeu tempo em definir que tratamento de alto risco seria caracterizado se o tratamento de dados pessoais atendesse cumulativamente a pelo menos um critério geral e um critério específico:

Critérios gerais

1. Tratamento de dados pessoais em larga escala, sendo que o tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; ou

2. Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, sendo assim caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Critérios específicos

1. Uso de tecnologias emergentes ou inovadoras;

2. Vigilância ou controle de zonas acessíveis ao público;

3. Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

4. Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

A ANPD também poderá a qualquer momento solicitar do agente de tratamento de pequeno porte que prove essa condição; hipótese em que o mesmo terá 15 (quinze) dias para fazê-lo.

Os agentes de tratamento de pequeno porte tem o dever de disponibilizar informações sobre o tratamento de dados pessoais ou atender a requisições de titulares de dados pessoais por meio eletrônico, impresso ou qualquer outro meio que facilite o acesso às informações pelos titulares de dados.

Todavia, com respeito ao cumprimento da obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, a ANPD irá fornecer modelo para o registro simplificado.

Outra simplificação diz respeito à comunicação dos incidentes de segurança, já que a ANPD afirma que disporá sobre flexibilização ou procedimento simplificado da sua comunicação. Resta esperar que flexibilização ou procedimento será este.

A boa notícia para as empresas de pequeno porte é que não precisarão indicar a figura do encarregado, prevista na LGPD, como aquele que deverá intermediar o contato da empresa com a ANPD e com os titulares de dados.

Por outro lado, os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, valendo para tanto o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos; sendo ainda facultado  estabelecer política simplificada de segurança da informação, que leve em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações, e que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Outra boa notícia para os agentes de tratamento de pequeno porte é que terão prazo sempre em dobro, (i) no atendimento das solicitações de titulares de dados referentes aos seus dados pessoais, (ii) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação, (iii) no fornecimento de declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial e (iv) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento. Aliás, até mesmo a declaração simplificada ao titular de dados poderá ser fornecida no prazo de 15 (quinze) dias, enquanto a LGPD estabelece o prazo imediato para os demais agentes de tratamento de dados.

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Autoridade Nacional de Proteção de Dados (ANPD) regulamenta a proteção de dados pessoais para empresas de pequeno porte

No items found.

A Autoridade Nacional de Proteção de Dados (ANPD), responsável pelo fomento e controle da Lei Geral de Proteção de Dados (LGPD) no Brasil começou o ano de 2022 já publicando a Resolução CD/ANPD nº 2, em 27 de janeiro de 2022, aprovando o regulamento de aplicação da LGPD – Lei 13.709/2018 para agentes de tratamento de pequeno porte.

Com respeito à referida norma é interessante notar as seguintes definições já consideradas pela ANPD:

TERMO DEFINIÇÃO
Agentes de tratamento de pequeno porte Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
Microempresas e empresas de pequeno porte sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
Startups organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e
Zonas acessíveis ao público espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Ainda assim, a resolução citada acima proíbe às empresas de pequeno porte terem suas obrigações com respeito à LGPD simplificadas nos termos dessa resolução se:

  1. Realizarem tratamento de alto risco para os titulares, ressalvada a hipótese de organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
  2. Auferirem receita bruta superior a R$ 4,8 milhões e, no caso de startups, receita bruta no ano anterior superior a R$ 16 milhões.
  3. Pertencerem a grupo econômico de fato ou de direito, cuja receita global ultrapasse a R$ 4,8 milhões e, no caso de startups, receita bruta no ano anterior superior a R$ 16 milhões.

O termo “tratamento de alto risco” poderia gerar uma série de dúvidas, mas a ANPD não perdeu tempo em definir que tratamento de alto risco seria caracterizado se o tratamento de dados pessoais atendesse cumulativamente a pelo menos um critério geral e um critério específico:

Critérios gerais

1. Tratamento de dados pessoais em larga escala, sendo que o tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; ou

2. Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, sendo assim caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Critérios específicos

1. Uso de tecnologias emergentes ou inovadoras;

2. Vigilância ou controle de zonas acessíveis ao público;

3. Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

4. Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

A ANPD também poderá a qualquer momento solicitar do agente de tratamento de pequeno porte que prove essa condição; hipótese em que o mesmo terá 15 (quinze) dias para fazê-lo.

Os agentes de tratamento de pequeno porte tem o dever de disponibilizar informações sobre o tratamento de dados pessoais ou atender a requisições de titulares de dados pessoais por meio eletrônico, impresso ou qualquer outro meio que facilite o acesso às informações pelos titulares de dados.

Todavia, com respeito ao cumprimento da obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, a ANPD irá fornecer modelo para o registro simplificado.

Outra simplificação diz respeito à comunicação dos incidentes de segurança, já que a ANPD afirma que disporá sobre flexibilização ou procedimento simplificado da sua comunicação. Resta esperar que flexibilização ou procedimento será este.

A boa notícia para as empresas de pequeno porte é que não precisarão indicar a figura do encarregado, prevista na LGPD, como aquele que deverá intermediar o contato da empresa com a ANPD e com os titulares de dados.

Por outro lado, os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, valendo para tanto o atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos; sendo ainda facultado  estabelecer política simplificada de segurança da informação, que leve em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações, e que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Outra boa notícia para os agentes de tratamento de pequeno porte é que terão prazo sempre em dobro, (i) no atendimento das solicitações de titulares de dados referentes aos seus dados pessoais, (ii) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação, (iii) no fornecimento de declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial e (iv) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento. Aliás, até mesmo a declaração simplificada ao titular de dados poderá ser fornecida no prazo de 15 (quinze) dias, enquanto a LGPD estabelece o prazo imediato para os demais agentes de tratamento de dados.

No items found.