ANPD aprova regulamento da LGPD para agentes de tratamento de pequeno porte
Em comemoração ao dia 28 de janeiro de 2022, data destinada ao “Dia Internacional de Proteção de Dados”, a ANPD publicou a Resolução CD/ANPD Nº 2, estabelecendo diretrizes para os agentes de tratamento de dados pessoais de pequeno porte.
Segundo a Resolução, se enquadram como agentes de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado (associações, sociedades e fundações), inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, desde que se enquadrem nas funções de controlar ou de operador.
Contudo, a resolução traz 3 exceções. Não poderão se beneficiar do tratamento previsto nesta resolução:
(i) os agentes que realizem tratamento de alto risco para os titulares (com ressalva a hipótese do art. 8º da Resolução);
(ii) os agentes que aufiram receita bruta superior ao limite estabelecido no art. 3º, inciso II, da Lei Complementar nº 123, de 2006, ou, no caso de startups, no art. 4º, § 1º, da Lei Complementar nº 182, de 2021; ou
(iii) os agentes que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites estabelecidos no inciso II do art. 3º da Resolução.
Dentre as novidades para os agentes de pequeno porte, pode-se destacar as seguintes:
Não há a obrigatoriedade de indicação de uma pessoa para a função de “Encarregado de Proteção de Dados Pessoais”, conhecido como DPO;
A concessão de prazos “diferenciados” para cumprimento/atendimento de determinadas exigências previstas na Lei Geral de Proteção de Dados;
Flexibilização ou procedimento simplificado para comunicação de incidente de segurança, que ocorrerá através de regulamentação específica.
A resolução ainda trouxe novidades acerca do registro das operações de tratamento de dados pessoais e elaboração de política de segurança da informação, sendo que ambos poderão ser elaborados de forma simplificada. Para o registro das operações de tratamento de dados pessoais, a ANPD ainda fornecerá um modelo. Já a política simplificada de segurança da informação deverá levar em consideração os custos de implementação, a estrutura, a escala e o volume das operações do agente de tratamento, inclusive de acordo com o guia de segurança da informação para agentes de tratamento de pequeno porte. Clique aqui para acessar o guia orientativo.
É visto, portanto, que a ANPD está cumprindo o seu papel de regular as “pontas soltas” criadas pela Lei Geral de Proteção de Dados, estabelecendo diversas diretrizes para casos específicos que estão sob a abrangência da lei.
< Ver todos os artigos