Artigos

A aplicação da LGPD nas empresas de pequeno porte

pequeno porte

Por Letícia Sell, Advogada e Consultora de Proteção de Dados, Especialista em Direito Empresarial, Palestrante na Área de Proteção de Dados, levando conscientização às empresas

No último dia 27 de janeiro, a Autoridade Nacional de Proteção de Dados – ANPD – publicou a Resolução nº 2, que trata das regras específicas para adequação à Lei Geral de Proteção de Dados dos chamados agentes de tratamento de pequeno porte. 

Nova call to action

Essa norma traz uma flexibilização da LGPD para aqueles que se enquadrem nesse conceito, com regras mais simples de serem cumpridas do que aquelas previstas na lei geral.

Quem são os agentes de tratamento de pequeno porte?

São considerados agentes de tratamento de pequeno porte:

  • As microempresas e empresas de pequeno porte, ou seja, a sociedade empresária, sociedade simples, sociedade limitada unipessoal ou o empresário, inclusive o Microempreendedor Individual – MEI – que se enquadrem nesses casos, conforme os requisitos previstos na LC 123/2006; 
  • As startups: organizações empresariais ou societárias, nascentes ou em operação recente, que a atuação se caracterize pela inovação e que atenda aos requisitos previstos no artigo 4º, §1º, da LC 182/2021;
  • As pessoas jurídicas de direito privado, inclusive sem fins lucrativos; e
  • A pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, ou seja, os profissionais liberais, os condomínios, entre outros. 

rh week 2022

A quem a resolução não se aplica?

A norma não se destina àqueles que não se enquadrarem na definição de agente de tratamento de pequeno porte, ou seja, quem estiver acima dos limites da receita bruta anual, estabelecidos na legislação específica, ou quem pertença a grupo econômico cuja receita global ultrapasse esses valores. 

Ainda, não se aplicará a agentes que realizem o chamado “tratamento de alto risco”, nesse caso não importando qual o valor da receita bruta anual do agente. 

Para ser considerado tratamento de alto risco, deverá ser atendido, cumulativamente, pelo menos um critério geral e um critério específico da lista a seguir apresentada. 

São considerados como critérios gerais:

a) tratamento de dados pessoais em larga escala, ou seja, aquele que abrange um número significativo de titulares. Nesse caso, considera-se, ainda, o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado;

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, compreendido aqueles em que a atividade puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já os critérios específicos são os seguintes: 

  1. uso de tecnologias emergentes ou inovadoras;
  2. vigilância ou controle de zonas acessíveis ao público, como por exemplo: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros. 
  3. decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  4. utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

LGPD

Das regras específicas relacionadas ao agente de tratamento de pequeno porte

Entre as regras específicas trazidas pela Resolução podemos destacar:

  1. A obrigação de disponibilizar as informações sobre o tratamento de dados ao titular, de forma eletrônica, expressa ou por qualquer outro meio que garanta o acesso facilitado a essas informações.

Ainda, quanto a essa obrigação, a Resolução prevê a faculdade de que os agentes de tratamento de pequeno porte se organizem, por meio de entidades de representação da atividade empresarial, para fins de negociação, mediação e conciliação, frente as reclamações apresentadas por titulares de dados. 

2. A possibilidade de cumprimento da obrigação de registro de operações de tratamento de dados de forma simplificada.

A ANPD ainda irá disponibilizar modelo para que esse registro simplificado seja realizado. 

III. A adoção de procedimento simplificado de comunicação de incidente de segurança, a fim de que se cumpra a obrigação prevista no artigo 48 da LGPD.

3. A faculdade do agente de tratamento de pequeno porte indicar encarregado de dados.

Sobre esse ponto é importante observar que, mesmo que o agente de tratamento opte por não ter a figura do encarregado de dados, deverá manter um canal de comunicação para que o titular de dados exerça os seus direitos. 

Além disso, a Resolução deixa claro que, caso a empresa decida ter um encarregado de dados, essa atitude será considerada uma boa prática em proteção de dados. 

4. O dever de adotar medidas técnicas e administrativas de segurança e de boas práticas em proteção de dados, considerando o nível de risco à privacidade e a realidade do agente de tratamento. 

5. A previsão de prazos em dobro para atendimento das solicitações dos titulares de dados, referentes ao tratamento de seus dados; fornecimento de declaração clara e completa, no caso do exercício do direito de confirmação de tratamento de dados; comunicação à ANPD e aos titulares, no caso de incidente de segurança. 

Nesse último caso, o prazo somente será em dobro se não houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional.

Ainda, a contagem em dobro terá como parâmetro aqueles prazos previstos na LGPD e, também, poderão ser criadas legislações trazendo prazos específicos para determinadas situações. 

Importante observar que a Resolução flexibilizou a aplicação da lei para esses agentes de tratamento, criando processos mais simplificados para a adequação, levando em conta suas realidades, mas não os dispensou de observar as regras gerais, os princípios e fundamentos estabelecidos na Lei.

Assim, deve-se reconhecer que, com a publicação da Resolução, se encerrou um boato infundado que dizia que pequenas empresas não precisariam se adequar à LGPD ou que essas não estariam no radar das fiscalizações da Autoridade Nacional de Proteção de Dados. 

Pelo contrário. Conforme dito, a norma vem para reforçar a obrigação que esses agentes têm de se adequarem e para demonstrar que, muito embora a Autoridade reconheça as particularidades na adequação dessas empresas, exige a contrapartida, qual seja: a atuação em conformidade com a proteção de dados, sob pena de sofrer as penalidades previstas na lei.

 

calendário de RH

 

LEIA TAMBÉM

 

5 1 vote
Article Rating

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

News do RH Portal

Assine nossa Newsletter e fique por dentro de todas as Novidades e Tendências do Universo do RH