LGPD para Agentes de Tratamento de Pequeno Porte – O que muda?

  • 14 fevereiro, 2022 - Artigos

Recentemente, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 que estabelece o Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte.

O referido Regulamento flexibiliza diversas obrigações anteriormente aplicáveis a todos os agentes de tratamento. Saiba mais sobre seu conteúdo abaixo.

Sua empresa se enquadra?

Segundo o Regulamento, são considerados agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Contudo, não poderão se beneficiar do tratamento diferenciado previsto no regulamento aqueles que:

  1. realizem tratamento de alto risco para os titulares;
  2. aufiram receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) em cada ano-calendário, ou, no caso das startups, superior a $ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses;
  3. pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites indicados no ponto (ii) acima.

Caso sua empresa entenda que pode se beneficiar do tratamento previsto neste Regulamento, deve estar preparada para comprovar à ANPD que atende aos requisitos previstos acima no prazo de 15 dias mediante solicitação.

O que é um tratamento de alto risco para os titulares?

Para fins do Regulamento, será considerado de alto risco o tratamento de dados pessoais que atender, cumulativamente, a pelo menos um critério geral e um critério específico dentre os abaixo indicados:

(i) critérios gerais

  • tratamento de dados pessoais em larga escala – assim considerados aqueles que abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
  • tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares – como por exemplo aqueles que puderem impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade;

(ii) critérios específicos:

  • uso de tecnologias emergentes ou inovadoras;
  • vigilância ou controle de zonas acessíveis ao público;
  • decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  • utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Caso sua empresa realize tratamento de alto risco, ainda poderá se beneficiar da orientação prevista no art. 8° do regulamento: Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

7 principais benefícios previstos no Regulamento:

Dentre os principais tratamentos diferenciados previstos no Regulamento, destacamos os seguintes:

  1. As empresas poderão se unir para criar entidades de representação para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
  2. Prazo em dobro para atendimento das solicitações e titulares referentes ao tratamento de seus dados pessoais;
  3. Prazo prolongado para atendimento ao direito de confirmação de existência ou acesso aos dados pessoais. O prazo será de 30 dias para fornecimento de declaração clara e completa e de 15 dias para fornecimento de declaração simplificada;
  4. Prazo em dobro para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD;
  5. Prazo em dobro para realizar comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
  6. Possibilidade de cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada através de modelo que será disponibilizado pela ANPD;
  7. Dispensa da obrigatoriedade de indicação e encarregado, desde que disponibilizado canal de comunicação com os titulares.

 

Caso entenda que sua empresa pode se beneficiar das inovações trazidas por este Regulamento, o Chenut Oliveira Santiago poderá auxiliá-la na organização da documentação necessária. Estamos à disposição para atendê-los.



Voltar à página anterior

Cadastre-se em nossa Newsletter