Depois de muita espera, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a resolução que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte. A resolução entra em vigor na data de sua publicação: 28 de Janeiro de 2022.
De forma objetiva, quais são as determinações que a resolução traz?
Já no início, fica expressa a previsão de que não haverá aplicação ao tratamento de dados pessoais realizados por pessoas naturais para fins particulares, o que serve de reforço, mas não acresce nenhuma novidade.
A resolução define, para efeitos da LGPD, o que são agentes de tratamento de pequeno porte, sendo eles: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Ficam definidas como microempresas e empresas de pequeno porte a sociedade empresária, sociedade simples, sociedade limitada unipessoal e o empresário, conforme previsão do Código Civil, em que “considera-se empresário quem exerce profissionalmente atividade econômica organizada para a produção ou a circulação de bens ou de serviços.”, além do microempreendedor individual, devidamente registrado.
As Startups ficam definidas como organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.
E zonas acessíveis ao público são os espaços abertos como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Importante definição é a previsão quanto a quem NÃO poderá se beneficiar do tratamento jurídico diferenciado trazido pela resolução, ainda que sejam agentes de pequeno porte.
Agentes de tratamento que realizam tratamentos de alto risco para os titulares, não poderão se valer do tratamento diferenciado, sendo que há uma ressalva para aqueles agentes que optem por se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados, que poderão, então, utilizar a resolução.
Agentes que aufiram receita bruta superior a R$ 3.600.000,00 (três milhões e seiscentos mil reais), ou, no caso de startups, com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior, ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada, NÃO se enquadram no regime diferenciado trazido pela resolução.
Agentes que pertençam a grupos econômicos de fato ou de direito, cuja receita global ultrapasse os limites previstos para startups, também não se enquadram no tratamento diferenciado.
Passa a ser definido como tratamento de alto risco, que atendam ao menos um critério geral e um específico, sendo eles CUMULATIVOS:
I – Critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II – Critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
A definição de larga escala, acaba se tornando um conceito relativo, mas fica definido pela resolução que o tratamento de dados pessoais em larga escala será caracterizado quando abranger um número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.
O tratamento de dados pessoais que pode afetar interesses e direitos fundamentais serão aqueles que podem impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e reputação, fraudes financeiras ou roubo de identidade.
O enquadramento nos critérios estabelecidos para aplicação do regime diferenciado será de comprovação obrigatória do agente.
Ficam ainda previstas as obrigações dos agentes de tratamento de pequeno porte, que são mais “enxutas”, mas que, ainda assim, passam a ter uma série de requisitos para que haja adequação à LGPD.
Ficam os agentes de pequeno porte obrigados a disponibilizar informações sobre o tratamento de dados pessoais e atender as previsões quanto ao cumprimento dos direitos dos titulares, e o livre acesso conforme previsto na LGPD, podendo ser feito por meio eletrônico, impresso ou qualquer outro meio que seja eficaz para disponibilizar as informações aos titulares.
Na prática isso define que empresas que não possuem site, por exemplo, não são obrigadas a terem um endereço eletrônico somente para o cumprimento das previsões contidas na LGPD.
Uma facilidade trazida pela resolução é a possibilidade que os agentes de tratamento de pequeno porte possam cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, quando há tratamento fundamentado em legítimo interesse, de forma simplificada, por meio de modelo que será fornecido pela própria ANPD.
Fica ainda previsto que a ANPD disponibilizará regulamentação específica sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, ficando este ponto ainda pendente.
E talvez um dos grandes questionamentos passa a ter resposta. Os agentes de tratamento de pequeno porte NÃO são obrigados a indicar o encarregado pelo tratamento de dados pessoais, sendo que, em não havendo indicação, o agente deverá disponibilizar um canal de comunicação com o titular de dados para atender e aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Contudo, caso o agente opte por indicar um encarregado, isso será considerado como uma política de boas práticas e governança.
Os agentes de tratamento de pequeno porte não se desincumbem da responsabilidade quanto a adoção de medidas de prevenção e boas práticas que considerem as características do tratamento realizado, sendo que o atendimento às recomendações e às boas práticas de prevenção e segurança foram divulgadas pela ANPD.
Poderá ser estabelecida política de segurança da informação simplificada que contemple requisitos essenciais e necessários para garantir a segurança da operação de tratamento, devendo ainda, ser considerados os custos para sua implementação.
Os prazos para os agentes de tratamento de pequeno porte serão em dobro, desde o prazo para atendimento das solicitações dos titulares, quanto a comunicação de incidentes à ANPD, sendo que os prazos para os agentes de tratamento de pequeno porte também serão objeto de regulamentação específica.
Os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada quanto a confirmação de existência ou o acesso a dados pessoais em um prazo de até quinze dias, contados da data do requerimento do titular.
Por fim, fica a previsão de que a ANPD poderá determinar ou dispensar o cumprimento previsto, considerando as especificidades de cada agente de tratamento.
Dra. Nycolle Soares
Advogada, Professora, Palestrante. Especialista em direito da Saúde e Transformação Digital. Presidente do IGDD – Instituto Goiano de Direito Digital.
Sócia do Lara Martins Advogados
, para agentes de tratamento de pequeno porte.){kind=link}