No dia 28 de janeiro de 2022, foi publicada no Diário Oficial da União a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, proposta pela Autoridade Nacional de Proteção de Dados (“ANPD”). A Resolução aprova o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (“LGPD”) para agentes de tratamento de pequeno porte (“Regulamento”), e a íntegra do texto pode ser acessada neste link.
Em seu artigo 2º, o Regulamento classifica os “agentes de tratamento de pequeno porte” como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
O Regulamento foi instituído com o propósito de cumprir o disposto no art. 55-J, XVIII da LGPD, no atribui à ANPD competência para a “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.” Nesse sentido, o Regulamento prevê certas flexibilizações da LGPD aplicáveis a esses agentes, de modo a facilitar a implementação das políticas necessárias para o tratamento de dados pessoais dos indivíduos com os quais se relacionam.
Dentre as flexibilizações dispensadas aos agentes de pequeno porte, destaca-se o prazo em dobro para atender solicitações dos titulares sobre o tratamento de seus dados pessoais e para comunicar a ocorrência de incidente de segurança que não houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional. Além disso, os agentes beneficiados pelo Regulamento estão desobrigados de indicar um responsável pelo tratamento e manutenção dos dados, mas, nesse caso, devem apresentar um canal de comunicação com o titular dos dados. Vale destacar que, apesar da inexigibilidade, a indicação de um responsável pelo tratamento de dados pelos agentes de pequeno porte é considerada como política de boas práticas e governança, para fins do disposto no art. 52, §1º, IX da LGPD.
Além disso, o Regulamento ainda dispõe que os agentes de pequeno porte poderão estabelecer política de proteção de dados simplificada, que leve em conta a compatibilização dos procedimentos com custos de implementação, estrutura, escala e volume das operações do agente.
Importa ressalvar que o Regulamento não é aplicável a agentes de pequeno porte que: (i) realizem tratamento de alto risco para os titulares, conforme definido no art. 4º do Regulamento; (ii) aufiram receita bruta anual superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 (R$4.800.000,00) ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021 (R$16.000.000,00); ou (iii) integrem grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos neste item (ii).
A respeito do tema, nosso sócio Francisco Côrtes destaca que “a proteção de dados é direito fundamental e a LGPD trouxe grandes avanços no sentido de promover o uso da internet de forma mais segura pelos usuários. No entanto, para assegurar a segurança dos dados pessoais, também é preciso criar mecanismos para possibilitar que todos os agentes de tratamento tenham condições de cumprir efetivamente as normas expedidas pelo Poder Público, e a nova resolução da ANPD foi assertiva ao flexibilizar as obrigações aplicáveis aos agentes de pequeno porte.”
A equipe do Coimbra, Chaves & Batista segue à disposição para trazer quaisquer esclarecimentos.