Novo texto traz regras mais brandas para flexibilizar a adequação de empresas de pequeno porte à Lei Geral de Proteção de Dados.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela regulamentação e fiscalização da Lei Geral de Proteção de Dados (LGPD), publicou, em 28/01, um conjunto de novas regras para desburocratizar e flexibilizar a adequação de pequenas e médias empresas à lei. Neste artigo, iremos mostrar a quem se aplicam as novas regras e quais as principais mudanças para estas empresas.
A quem se aplicam as novas regras da LGPD para pequenas empresas
Em linhas gerais, as novas regras se aplicam aos agentes de tratamento de pequeno porte. São eles:
- microempresas e empresas de pequeno porte,
- startups;
- organizações sem fins lucrativos.
Existem exceções?
Sim, existem exceções. Os agentes de pequeno porte não terão os benefícios de flexibilização em dois principais cenários:
1. Tratamento de dados de alto risco
As novas regras não são aplicáveis quando o tratamento for considerado de alto risco para os titulares. Um tratamento pode ser considerado de alto risco quando atender, cumulativamente, a pelo menos um critério geral e um critério específico:
Critérios gerais
- quando o tratamento de dados pessoais for realizado em larga escala;
- o tratamento de dados pessoais pode afetar significativamente interesses e direitos fundamentais dos titulares.
Critérios específicos
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de zonas acessíveis ao público;
- decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
- utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Ainda assim, existe considerável margem para interpretação do que pode ou não ser considerado tratamento de alto risco. Por esse motivo, consta na Resolução que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.
É importante registrar que para caracterizar um tratamento em larga escala devem ser considerados fatores como: o número de titulares, o volume de dados pessoais envolvidos, duração, frequência e extensão geográfica do tratamento realizado.
2. Receita bruta superior ao limite permitido
Também não estão incluídas nas novas regras as empresas que auferirem receita bruta superior ao limite permitido:
- para empresas de pequeno porte: receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), em cada ano-calendário;
- para startups: receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior;
- ou também no caso de a empresa pertencer a grupo econômico cuja receita global ultrapasse os limites referidos acima.
O que muda na LGPD para as pequenas empresas?
Dentre as principais obrigações suavizadas a partir das novas regras, temos:
Encarregado de Proteção de Dados (DPO)
Os agentes de pequeno porte não precisarão mais indicar um encarregado de Proteção de Dados. Até então, a indicação de um encarregado era obrigatória independente do porte da empresa. Apesar da mudança, a ANPD informa que a nomeação deste profissional, mesmo que não obrigatória, é vista como uma boa prática de governança.
Importante destacar que a empresa de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
Prazos
A partir de agora, os agentes de pequeno porte passam a gozar de flexibilizações também em relação aos prazos. Vejamos dois exemplos:
- prazo em dobro para atender às solicitações dos titulares sobre o tratamento de seus dados pessoais. A LGPD prevê, como regra geral, um prazo de 15 dias. A partir das com as novas regras, os agentes de pequeno porte podem atender a estas solicitações em até 30 dias;
- prazo em dobro para comunicar a ocorrência de incidente de segurança (desde que não tenha risco de comprometer a integridade dos titulares ou a segurança nacional).
A definição de alguns prazos ainda segue pendente de regulamentação pela ANPD.
Registro de atividades de tratamento
A LGPD prevê que agentes de tratamento, no geral, devem guardar registros de todas as suas operações de tratamento de dados pessoais. A operacionalização desta obrigação pode ser um desafio e tanto, considerando, por exemplo, a necessidade de guarda de registros de todo o ciclo de vida dos dados pessoais, a finalidade do tratamento, a descrição de categorias de dados pessoais, medidas de segurança, períodos de retenção e exclusão, informações sobre gestão de terceiros etc.
Uma das mudanças previstas é a simplificação do registro das atividades de tratamento, a partir de um modelo que será disponibilizado. Contudo, este ponto ainda depende de regulamentação e da disponibilização do referido modelo.
Segurança
A Resolução prevê, ainda, requisitos mais brandos no que diz respeito à segurança da informação:
- permite às empresas a criação de uma Política de Segurança da Informação simplificada;
- determina que os agentes de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias. Aqui, é importante lembrar que, em outubro de 2021, a ANPD publicou um Guia Orientativo sobre Segurança da Informação para agentes de tratamento de pequeno porte, contendo um conjunto de medidas mínimas necessárias
- a ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, tal mudança, contudo, este ponto segue pendente de regulamentação
Cumpre destacar: as novas regras não isentam as empresas de pequeno porte do cumprimento dos demais dispositivos da LGPD, incluindo mas não se limitando às bases legais, princípios e direitos dos titulares.
A LGPD ficou mesmo mais simples para pequenas empresas?
De um lado, a flexibilização de determinados requisitos da LGPD cumpre um papel importante na desburocratização e viabilização da adequação de agentes de tratamento de pequeno porte. Caso estas empresas precisassem adotar as medidas originalmente previstas na LGPD na sua completude, potencialmente teriam impactos operacionais e financeiros desnecessários.
Apesar da boa notícia, ainda há um longo caminho pela frente. É possível perceber que as novas regras deixam uma série de pontos em aberto, que vêm levantando dúvidas e gerando incerteza.
Como vimos, seguem pendentes definições específicas de tratamento de alto risco, especificidades sobre a simplificação dos registros das atividades de tratamento ,sobre a simplificação do processo de comunicação de incidentes, incertezas sobre determinados prazos, dentre outros pontos.
Assim, é necessário que tais lacunas sejam preenchidas o quanto antes, para que as novas regras tragam mais benefícios do que riscos e insegurança jurídica.
Fonte: Resultados Digitais