ANPD aprova regulamento de aplicação da LGPD para MPEs e startups

No Dia Internacional de Proteção de Dados (28 de janeiro), foi publicada no DOU, a Resolução CD/ANPD Nº2, que aprova o Regulamento de aplicação da Lei 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de Pequeno Porte.


Banco de imagens Canva

A Resolução dispõe em vários pontos que a ANPD deverá apresentar regulamentação posterior, como é o caso da flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte.


De uma forma geral, o regulamento busca dar cumprimento ao comando legal de que a ANPD deve estabelecer normas e procedimentos simplificados para as microempresas, empresas de pequeno porte e startups, levando em consideração não apenas o seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas.


Abaixo, seguem os principais destaques da Resolução:

  • Definições:

§ Agentes de tratamento de pequeno porte: são as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;


§ Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006.


§ Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.


§ Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

  • Não poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que:

§ Realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º, que dispõe que o consentimento do titular deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular;


§ Aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou,


§ Pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites legais de enquadramento, conforme o caso.

  • Tratamento de alto risco:

§ Enquadramento de tratamento de alto risco: é considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:


ü critérios gerais: tratamento de dados pessoais em larga escala; ou tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

ü critérios específicos: uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.


§ Tratamento de dados pessoais em larga escala: é caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.


§ Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais: será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.


§ Guias orientativos para avaliação do tratamento de alto risco: a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.


§ Prazo comprobatório: caberá ao agente de tratamento de pequeno porte, quando solicitado pela Autoridade, comprovar que se enquadra nas definições acima elencadas e no que tange ao tratamento de alto risco em até 15 dias.

  • Tratamento dos dados pessoais pelos agentes de tratamento de pequeno porte:

§ A dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.


§ Obrigações dos agentes de tratamento de pequeno porte relacionadas aos direitos do titular: os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio eletrônico, impresso ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.


§ Negociação, mediação e conciliação: é facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.


§ Registro simplificado das atividades de tratamento: os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, especialmente quando baseado no legítimo interesse. A ANPD fornecerá modelo para o registro simplificado.


§ Flexibilização ou simplificação nas comunicações dos incidentes de segurança: a ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, em regulamentação futura específica.


§ Dispensa da obrigatoriedade do encarregado pelo tratamento de dados pessoais: os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, desde que disponibilizem um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. Caso a empresa indique um encarregado será considerada boas práticas e governança pela Autoridade na aplicação de sanções.


§ Adoção de medidas de segurança da informação e de boas práticas para proteção de dados pessoais: os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.


No entanto, a norma indica que essas empresas podem ter uma política simplificada de segurança da informação, desde que garanta a proteção contra os principais problemas, tais como acessos não autorizados, destruição, perda, alteração, entre outros. A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.


O atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será considerado como observância na aplicação das sanções, que por sua vez, serão aplicadas após procedimento administrativo que possibilite a oportunidade de ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as particularidades no caso concreto.

  • Aplicação de prazos em dobro: aos agentes de tratamento de pequeno porte será concedido prazo em dobro nas seguintes situações:

§ no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;


§ na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento;


§ no fornecimento de declaração clara e completa de confirmação de existência ou de acesso a dados pessoais, nos termos do art. 19, II da LGPD;


§ em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.


§ No caso da declaração simplificada (art. 19, I, da LGPD), os agentes de tratamento de pequeno porte podem fornecer em até 15 dias a partir do requerimento do titular. Os prazos não dispostos no regulamento para agentes de tratamento de pequeno porte serão determinados por regulamentação específica.

  • Exceções às dispensas e flexibilizações previstas no Regulamento: a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.

O Regulamento foi construído com a participação e contribuição a sociedade, incluindo Consulta e Audiência Públicas, com o objetivo de facilitar a adaptação e adequação das micro e pequenas empresas e startups às normas da Lei Geral de Proteção de Dados.


É importante ressaltar que o Comitê Proteção de Dados do Conselho de Economia Digital e Inovação da FecomercioSP participou ativamente no processo de advocacy, apresentando sugestões para regulamentação simplificada destinada às MPES, viabilizando que esses agentes também possam estar em conformidade com a LGPD.


Mais informações sobre a referida legislação, poderão ser conferidas no arquivo anexo.

CDANPD2
.doc
Download DOC • 46KB
 

Fonte: http://doc.fecomercio.com.br/mixlegal.php?edicao=3026