sábado, 19 de fevereiro de 2022

Orientações da LGPD para empresas de pequeno porte


A Autoridade Nacional de Proteção de Dados (ANPD) publicou novas orientações para as microempresas e empresas de pequeno porte no tocante à implementação da Lei Geral de Proteção de Dados Pessoais, a LGPD. Post em colaboração com os advogados Daniel Longo Braga e Débora Rodrigues.

No dia 28 de janeiro de 2022, em que fora comemorado o Dia Internacional da Proteção de Dados, a Resolução CD/ANPD nº 2 foi publicada como regulamento da Lei nº 13.709/2018 (LGPD) para agentes de tratamento de pequeno porte, previstos no art. 5º, VII, desta lei.

Significa que a LGPD terá aplicação diferenciada, mais simplificada para os operadores de dados definidos como de pequeno porte, tema bastante aguardado pelos empreendedores. A resolução exclui deste tratamento diferenciado as instituições que realizam tratamento de alto risco, assim como aquelas que aufiram receita bruta anual superior a R$ 360 mil para as microempresas e R$ 4,8 milhões para empresas de pequeno porte (previstas na LC nº 123/2006), ou superior a R$ 16 milhões no caso das startups (LC nº 182/2021), ou ainda, que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites mencionados, no último exercício fiscal.

Este alto risco é definido pelo ato normativo. Tratam-se as situações em que:

  • Ocorra tratamento de dados pessoais em larga escala;
  • Possam ferir direitos fundamentais;
  • Uso de tecnologias emergentes e pouco validadas;
  • Vigilância ou controle de zonas acessíveis ao público;
  • Decisões tomadas unicamente com base em algoritmos;
  • Tratamento de dados sensíveis ou dados de crianças e adolescentes.

A Resolução nº 2 da ANPD também determinou que os agentes de tratamento de pequeno porte poderão atender às requisições dos titulares por meio eletrônico, impresso, ou qualquer outro meio que assegure os direitos previstos na LGPD e o acesso facilitado às informações. Além disso, terão a faculdade de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados. Podem ser exemplificados os Sindicatos Patronais e as Câmaras de Dirigentes Lojistas (CDL).

Em relação ao encarregado, também conhecido pela sigla DPO (Data Protection Officer), previsto no art. 5º, VIII, da LGPD, estes agentes estão dispensados de indicar este profissional, embora ainda precisem disponibilizar um canal de comunicação com o titular. No caso de um encarregado de dados ser indicado, isso será considerado uma boa prática de governança. Os operadores de dados de pequeno porte devem adotar medidas administrativas técnicas essenciais e necessárias, com base nos requisitos mínimos de segurança.

A resolução atribui a estes menores operadores de dados, prazos em dobro para:

a) atender solicitações de titulares referentes ao tratamento de seus dados pessoais;

b) comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

c) fornecimento de declaração clara e objetiva, prevista no art. 19, II, da LGPD.

Percebe-se que se trata de uma norma bastante interessante e delicada, por reconhecer as especificidades dos agentes de pequeno porte quando tratam de dados pessoais, mas ao mesmo tempo não fragiliza o direito dos titulares, deixando notório um equilíbrio entre os dois polos na relação de tratamento de dados.

0 comentários:

PAULO MONTEIRO ADVOCACIA & CONSULTORIA

OAB/CE Nº 46.849
Rua Dom Pedro II, 736 - Cruzeiro - Camocim, CE, Brasil. CEP: 62400-000
E-MAIL: pmonteiroadvocacia@gmail.com
REDES SOCIAIS: @pmonteiroadvocacia