A LGPD e os agentes de tratamento de pequeno porte

5 minutos para ler

Em comemoração ao Dia Internacional da Proteção de dados, a ANPD – Autoridade Nacional de Proteção de Dados, e seguindo com o seu calendário de atividades, publicou a Resolução CD/ANPD nº 2 que regulamenta a aplicação da LGPD – Lei Geral de Proteção de Dados aos agentes de tratamento de pequeno porte, que dispensa, flexibiliza obrigações e facilita a adequação desses agentes às normas da LGPD.

Conforme previsto na Resolução, enquadram-se como agente de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, sociedade limitada unipessoal e microempreendedor individual que, nos termos do art. 4º da própria Resolução, não realizem tratamento de dados considerado de alto risco; ou que aufiram, individualmente ou por meio da constituição de grupo econômico, receita bruta superior aos estabelecido no art. 3º, II, da Lei Complementar nº 123/06.

Acreditamos que ao adotar o critério de faturamento da Lei Complementar nº 123/06 para definir o agente de tratamento de pequeno porte, a Resolução beneficiará a maior parte do ambiente empresarial, o qual passa a contar com as seguintes flexibilizações ou dispensas de obrigações na implementação da LGPD:

1) Registro de operações de tratamento de dados simplificado (inventário de dados)

O registro de forma simplificada auxiliará na implementação da LGPD no ambiente corporativo como um todo. Embora o processo tradicional de implementação seja considerado uma medida de boa prática de governança, bem como permite que a corporação revise seus processos internos e ganhe eficiência operacional, a flexibilização pode servir como estímulo às empresas na percepção e adoção da cultura da segurança da informação, privacidade e da proteção de dados. Ainda, a ANDP publicará modelo simplificado para esse tipo de registro.

2) Determinação de procedimento simplificado para comunicação de incidentes de segurança

Os detalhes desse procedimento será objeto de regulação específica a ser publicada pela ANPD.

3) Dispensa da obrigatoriedade de nomeação do Encarregado (DPO)

Tal dispensa já era aguardada. Por um lado, a desobrigação da manutenção de Encarregado desonera financeiramente a folha dos agentes de tratamento de pequeno porte, porém, pode fragilizar o atendimento dos direitos dos titulares. Importante mencionar que tal dispensa não afasta a necessidade de o agente de tratamento em manter um canal de comunicação para que os titulares possam exercer os seus direitos. Ademais, a opção pela nomeação do DPO é e sempre será considerada como medida de boa prática de governança pela ANPD.

4) Permissão para adotar Política Simplificada de Segurança da Informação

Fica determinado que os agentes podem adotar uma PSI que contenha apenas os elementos essenciais para a proteção de dados pessoais e as medidas que serão adotadas em caso de incidentes de segurança. É importante mencionar que a ANPD possui um Guia Orientativo de segurança da informação próprio para esses agentes e que o atendimento às recomendações deste Guia é considerado como medidas de boas práticas de prevenção e segurança.

5) Prazo diferenciados

Aplicável aos seguintes casos: resposta das requisições de titulares; fornecimento da declaração clara e completa relacionada ao tratamento de dado prevista no inciso II do Art. 19 da LGPD; comunicar a ANPD da ocorrência de incidente de segurança; e apresentar informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

A Lei ainda permitiu que os agentes de tratamento de pequeno porte possam se organizar por meio de entidades de representação da atividade empresarial, com objeto de atender, negociar, mediar e conciliar questões relacionadas aos direitos dos titulares.

Observe que os agentes que decidirem adotar o processo tradicional de implementação, isto é, elaborar o inventário de dados completo, indicar um DPO, possuir uma PSI robusta e que siga às orientações do Guia de Boas Práticas disponibilizado pela ANPD, possuirá vantagens competitivas e de compliance, posto que, além de propiciar um ambiente mais preventivo, seguro e eficaz contra incidentes de segurança, na ocorrência destes, tais elementos serão considerados pela ANPD como atenuantes no momento da avaliação e punição do agente.

Ademais, é importante mencionar que a Resolução CD/ANPD nº 2 não dispensou a adoção das demais regras da LGPD ou de atos normativos paralelos, os quais devem ser respeitados e cumpridos pelos agentes de tratamento de pequeno porte, principalmente no que diz respeito aos princípios legais, hipóteses de tratamento e ao atendimento dos direitos dos titulares.

Por fim, acreditamos que as flexibilizações e dispensas estimulam a disseminação da cultura de segurança da informação, privacidade e proteção de dados, conscientizam o meio corporativo na adoção e implementação das regras da LGPD e, consequentemente, avançam na garantia e cristalização do direito constitucional da proteção de dados.

Juliano Félix de Souza – Advogado

Você também pode gostar

Deixe um comentário