No Dia Internacional de Proteção de Dados (28 de janeiro), foi publicada no DOU, a Resolução CD/ANPD Nº2, que aprova o Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de Pequeno Porte.
A Resolução dispõe em vários pontos que a ANPD deverá apresentar regulamentação posterior, como é o caso da flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte.
De uma forma geral, o regulamento busca dar cumprimento ao comando legal de que a ANPD deve estabelecer normas e procedimentos simplificados para as microempresas, empresas de pequeno porte e startups, levando em consideração não apenas o seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas.
Abaixo, seguem os principais destaques da Resolução:
Definições:
§ Agentes de tratamento de pequeno porte: são as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
§ Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006.
§ Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.
§ Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Não poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que:
§ Realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º, que dispõe que o consentimento do titular deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular;
§ Aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou,
§ Pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites legais de enquadramento, conforme o caso.
Tratamento de alto risco:
§ Enquadramento de tratamento de alto risco: é considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
ü critérios gerais: tratamento de dados pessoais em larga escala; ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
ü critérios específicos: uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
§ Tratamento de dados pessoais em larga escala: é caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.
§ Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais: será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
§ Guias orientativos para avaliação do tratamento de alto risco: a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.
§ Prazo comprobatório: caberá ao agente de tratamento de pequeno porte, quando solicitado pela Autoridade, comprovar que se enquadra nas definições acima elencadas e no que tange ao tratamento de alto risco em até 15 dias.
Tratamento dos dados pessoais pelos agentes de tratamento de pequeno porte:
§ A dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
§ Obrigações dos agentes de tratamento de pequeno porte relacionadas aos direitos do titular: os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
§ Negociação, mediação e conciliação: é facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
§ Registro simplificado das atividades de tratamento: os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, especialmente quando baseado no legítimo interesse. A ANPD fornecerá modelo para o registro simplificado.
§ Flexibilização ou simplificação nas comunicações dos incidentes de segurança: a ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, em regulamentação futura específica.
§ Dispensa da obrigatoriedade do encarregado pelo tratamento de dados pessoais: os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, desde que disponibilizem um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. Caso a empresa indique um encarregado será considerada boas práticas e governança pela Autoridade na aplicação de sanções.
§ Adoção de medidas de segurança da informação e de boas práticas para proteção de dados pessoais: os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
No entanto, a norma indica que essas empresas podem ter uma política simplificada de segurança da informação, desde que garanta a proteção contra os principais problemas, tais como acessos não autorizados, destruição, perda, alteração, entre outros. A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
O atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será considerado como observância na aplicação das sanções, que por sua vez, serão aplicadas após procedimento administrativo que possibilite a oportunidade de ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as particularidades no caso concreto.
Aplicação de prazos em dobro: aos agentes de tratamento de pequeno porte será concedido prazo em dobro nas seguintes situações:
§ no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;
§ na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento;
§ no fornecimento de declaração clara e completa de confirmação de existência ou de acesso a dados pessoais, nos termos do art. 19, II da LGPD;
§ em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
§ No caso da declaração simplificada (art. 19, I, da LGPD), os agentes de tratamento de pequeno porte podem fornecer em até 15 dias a partir do requerimento do titular. Os prazos não dispostos no regulamento para agentes de tratamento de pequeno porte serão determinados por regulamentação específica.
Exceções às dispensas e flexibilizações previstas no Regulamento: a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
O Regulamento foi construído com a participação e contribuição a sociedade, incluindo Consulta e Audiência Públicas, com o objetivo de facilitar a adaptação e adequação das micro e pequenas empresas e startups às normas da Lei Geral de Proteção de Dados.
É importante ressaltar que o Comitê Proteção de Dados do Conselho de Economia Digital e Inovação da FecomercioSP participou ativamente no processo de advocacy, apresentando sugestões para regulamentação simplificada destinada às MPES, viabilizando que esses agentes também possam estar em conformidade com a LGPD.
Mais informações sobre a referida legislação, poderão ser conferidas no arquivo anexo.