Na última sexta-feira, 28 de janeiro, foi comemorado o Dia Internacional da Proteção de Dados. Para celebrar esta importante data, o Peck Advogados promoveu o “Legal Innovation Data Protection Day”, evento que contou com a participação de convidados nacionais e internacionais para discutir o tema, e teve ainda a divulgação da inovadora certificação em proteção de dados para instituições de ensino do Instituto iStart e os resultados da 1ª Pesquisa Nacional de Cultura da Privacidade feita pela Palqee e Copenhagen Business School.
Perdeu o evento? Quer rever o que aconteceu por lá? Acompanhe nossas redes sociais, em breve será divulgado um vídeo com toda a programação.
Além do evento, na sexta-feira, tivemos a publicação no Diário Oficial da União a RESOLUÇÃO CD/ANPD Nº 2, de 27 de janeiro de 2022, que “aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.”
O que isso significa? Que a LGPD terá aplicação diferenciada, mais simplificada, para agentes de tratamento definidos como de pequeno porte, algo que era bastante aguardado pela comunidade dos profissionais da proteção de dados e por muitas empresas.
Como é composta a Resolução? São 4 Títulos, sendo que os Títulos 1 e 2 têm subdivisões em Capítulos.
Título 01 – Disposições gerais
- Capítulo 01 – Disposições preliminares
- Capítulo 02 – Das definições
- Capítulo 03 – Do tratamento de alto risco
Título 02 – Das obrigações dos agentes de tratamento de pequeno porte
- Capítulo 01 – Disposições gerais
- Capítulo 02 – Das obrigações dos agentes de tratamento de pequeno porte
Título 03 – Dos prazos diferenciados
Título 04 – Disposições finais
Vamos aos principais pontos da Resolução.
Definições:
A Resolução define o que são os agentes de tratamento de pequeno porte, microempresas e startups.
São agentes de tratamento de pequeno porte “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.
Além disso, pela Resolução, “são microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006.”
E, startups são “organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.”
Define, ainda, o que é o tratamento de dados de alto risco como os feitos em larga escala; que possam afetar significativamente interesses e direitos fundamentais dos titulares; que façam uso de tecnologias emergentes ou inovadoras; que façam vigilância ou controle de zonas acessíveis ao público; que processem decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; que tratem dados pessoais sensíveis ou de crianças, adolescentes e de idosos.
Instituições que não podem se valer do tratamento jurídico diferenciado
A Resolução, exclui da aplicação diferenciada da LGPD as instituições que realizem tratamento de alto risco, que aufiram receita bruta superior a 4,8 milhões para empresas de pequeno porte ou 16 milhões no caso de startups, ou ainda, que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites mencionados.
Obrigações dos agentes de pequeno porte
No que diz respeito às obrigações relacionadas aos direitos do titular determinou-se que os agentes de tratamento de pequeno porte poderão atender às requisições dos titulares por meio eletrônico, impresso ou qualquer outro meio que assegure os direitos previstos na LGPD e os acesso facilitado às informações. Além disso, terão a faculdade de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Quanto aos Registros das atividades de tratamento – “ROPA’s” – (art. 37 da LGPD), os agentes de tratamento de pequeno porte poderão realizar os registros de forma simplificada e a ANPD, oportunamente, fornecerá modelo para preenchimento.
Já no que diz respeito à Comunicação de incidentes de violação de dados pessoais, a Resolução declarou que será feita de forma flexível e que a ANPD editará regulamentação específica.
Quanto à segurança e boas práticas, determinou-se que os agentes devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento. Serão emitidos guias orientativos pela ANPD nesse sentido. Além disso, os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Recomenda-se a observância aos guias orientativos lançados pela ANPD sobre o tema.
Sobre o Encarregado – DPO – os agentes de tratamento de pequeno estão dispensados de indicar um Encarregado embora ainda precisem disponibilizar um canal de comunicação com o titular. No caso de um Encarregado ser indicado, isso será considerado boa prática de governança.
Por fim, a Resolução atribui prazos em dobro para os agentes de tratamento de pequeno porte para:
- a) atender solicitações de titulares referentes ao tratamento de seus dados pessoais;
- b) comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
- c) fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;
DÚVIDAS?
Tem dúvidas se sua instituição se enquadra em agente de tratamento de pequeno porte? Como agente de tratamento, você tem relações contratuais com os agentes de tratamento de pequeno porte? Tem qualquer dúvida sobre o tema? Nosso time pode ajudar. Entre em contato!
Por Patricia Peck, Marcelo Crespo e Camila Nascimento, sócios e advogada, respectivamente, do Peck Advogados.