informativo | 043 – 2022

janeiro, 2022

RESOLUÇÃO CD/ANPD Nº 2 REGULAMENTA LGPD PARA EMPRESAS DE PEQUENO PORTE

Na data de hoje, 28 de janeiro, comemora-se o dia internacional da privacidade e proteção de dados pessoais. Em celebração a esta importante data, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD publicou a esperada regulamentação de Lei Geral de Proteção de Dados – LGPD para agentes de tratamento de pequeno porte. A regulamentação atinge microempresas, empresas de pequeno porte, startups, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Não poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que realizem tratamento de alto risco, aufiram receita bruta superior R$360 mil, no caso de startups R$ 16 milhões, ou pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse R$ 16 milhões.

Pontos relevantes da resolução são:

  1. Agentes de pequeno porte não precisam indicar encarregado de proteção de dados (“DPO”), mas deverão disponibilizar um canal de atendimento às solicitações dos titulares de dados;
  2. O registro das atividades de tratamento de dados poderá ser realizado de forma simplificada, conforme modelo a ser fornecido pela ANPD oportunamente; 
  3. Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais;
  4. A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas na resolução; e
  5. Aos agentes de tratamento de pequeno porte será concedido prazo em dobro no atendimento das solicitações dos titulares e na comunicação à ANPD e ao titular da ocorrência de incidente de segurança (para incidentes de segurança a ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação).

Outros pontos de importante destaque são:

  1. A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
  2. Definição de quais atividades de tratamento de dados se enquadram como de alto risco. A Resolução definiu que tais atividades que atenderem cumulativamente a um critério geral e um objetivo não gozarão das dispensas da Resolução. Critérios Gerais: tratamento em larga escala e/ou que afetem interesses e direitos fundamentais; Critérios Específicos: tratamentos com tecnologias inovadoras, vigilância ou controle de áreas públicas, decisões automatizadas e tratamento de dados sensíveis e de crianças e adolescentes.

 

Permanecemos à disposição para quaisquer esclarecimentos adicionais julgados necessários.

 

UBS ADVOGADOS

Patrick R V Bastos | patrick@ubs.adv.br