No dia 30 de agosto de 2021 foi publicada pela ANPD (Autoridade Nacional de Proteção de Dados) uma nova minuta em relação a Lei Geral de Proteção de Dados aplicada para as pequenas empresas e startups, com o objetivo de simplificar e diferenciar alguns procedimentos da lei para as referidas empresas.
Por meio da Resolução CD/ANPD nº 02/2022, foi aprovado esse regulamento para aplicação flexível da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte.
De acordo com o regulamento, são agentes de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito provado sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados, que realizam tratamento de dados pessoais.
É importante ressaltar o verdadeiro significado da palavra “flexibilização” no contexto aplicado para a lei nessas empresas. A flexibilização não vem para diminuir ou desviar a aplicação da lei e suas sanções, mas sim para que a lei possa ser aplicada de maneira proporcional ao papel daquele determinado grupo de empresas que tratam dados pessoais de terceiros.
Essa flexibilização estabelecida pela ANPD mostra a possibilidade de um grande avanço para pequenas empresas e microempresas, de forma que essas podem manter sua atividade empresarial dentro dos parâmetros estabelecidos pela lei com um programa de governança de menor custo e, ao mesmo tempo, acaba com a possibilidade de justificativas e desculpas para os agentes não se adequarem.
Assim, podemos notar um planejamento perfeito pela ANPD em buscar cada vez mais a aplicação correta e obrigatória da LGPD nas empresas nacionais que ainda não se familiarizaram com a lei.
A seguir, você verá mais detalhes sobre as flexibilizações e os critérios trazidos pelo regulamento.
1) As flexibilizações são bastante restritas.
• As empresas que tratam dados de alto risco não entram na flexibilização
2.1) Critérios Gerais:
Classificação e tratamento de dados de alto risco:
- Dados pessoais em alta escala: muita quantidade (volume de dados – deve se perguntar quantas pessoas estão envolvidas no tratamento de dados).
- Dados pessoais que possam afetar significativamente interesses e direitos fundamentais os titulares.
2.2) Critérios Específicos:
- Uso de tecnologias emergentes – exemplo robótica para reconhecimento facial.
- Vigilância ou controle de zonas acessíveis ao público.
- Decisões tomadas unicamente com base em tratamento de dados pessoais ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Importante!
Todos os critérios devem ser avaliados. Se houver enquadramento em algum deles, não há flexibilização.
3) Flexibilizações:
• Procedimento simplificado de comunicação de incidente de segurança (será disposto pela ANPD em regulamentação específica).
• Estabelecimento de Política Simplificada de Segurança da Informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais – ele vem dizendo que, os documentos relativos a LGPD podem ser simplificados.
- Deve levar em consideração o check list de segurança da informação.
• Não obrigatoriedade de um DPO (somente para agentes de pequeno porte que não realizem tratamentos de dados pessoais de alto risco) – mas isso não exime a empresa de ter um canal de atendimento aos titulares de dados.
- Ou seja, se eventualmente o titular de dados solicitar, por exemplo, uma exclusão, é necessário que exista um canal específico para tal.
• Prazo em dobro para atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais.
• Prazo em dobro para comunicação a ANDP e ao titular das ocorrências de incidente e segurança que possa acarretar risco ou dano relevante aos titulares.
• Prazo em dobro para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamentos.
4) O que não muda?
• Todas as demais obrigações trazidas pela LGPD continuam valendo.
Mariana Ferraz Barboza Lima é Estudante do 5º ano / 10º semestre na Universidade Presbiteriana Mackenzie. Possui experiência em contencioso cível e compliance, passando pelas áreas de Direito Civil, Direito Tributário e Compliance em LGPD. Atualmente, estagia na ZMR Advogados na área de Compliance e LGPD.
—————–
A LGPD está em vigor e muitos ainda não se adequaram. Nunca foi tão importante proteger dados pessoais, tanto para sua empresa, negócio ou na vida condominial.
Foi nesse aspecto, e considerando a importância do tema, que a ZMR advogados disponibiliza um diagnóstico preliminar para saber o grau de necessidade da adequação perante a LGPD. Assim você pode entender os riscos que a sua empresa ou condomínio está correndo e que soluções estão disponíveis no mercado para que o seu negócio se adeque à nova legislação!
