ANPD aprova regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte

No final de janeiro passou a vigorar um novo regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte; o objetivo é que se adequem à LGPD. Fato que, como o regulamento foi aprovado com a participação e contribuição da sociedade, a ANPD pôde avaliar a baixa maturidade e a falta de uma cultura de proteção de dados pessoais por esses sujeitos, o que poderia dificultar sua adequação à LGPD e, eventualmente, inviabilizaria sua existência.


A ANPD reconheceu, então, a necessidade de redução da carga regulatória em casos específicos, bem como de um estímulo à inovação, como fatores fundamentais para o desenvolvimento das microempresas e empresas de pequeno porte.


Concomitantemente, a Autoridade de Dados admite que o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei.

O Regulamento de Agentes de Pequeno Porte


Agentes de tratamento de pequeno porte, de acordo com o Regulamento, são as microempresas, as empresas de pequeno porte, as startups, as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador. As definições de cada um desses agentes estão no art. 2° da norma.


Excluem-se do tratamento diferenciado:


  • os agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares, preservando a possibilidade de se organizar por meio de entidade de representação de sua atividade, por pessoas jurídicas ou naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;

  • tenham receita bruta superior aos limites estabelecidos na Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021;

  • caso pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior, conforme o caso.

O tratamento de alto risco, no caso, é o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os indicados pela norma da ANPD. Os critérios gerais são o tratamento de dados pessoais em larga escala ou o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.


Já os critérios específicos são 4, quais sejam: o uso de tecnologias emergentes ou inovadoras; a vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, ou a utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.


Já se critica excepcionar as empresas que façam uso de tecnologias inovadoras. Mais a mais, analisando o art. 4 inciso II, letra a, percebe-se que a resolução traz um termo muito abrangente, ou seja, o “uso de tecnologias emergentes ou inovadoras”, o que dificulta a compreensão e a aplicação do dispositivo.


Os parágrafos 1 º e 2 º do artigo 4 º do Regulamento especificam detalhadamente o que vem a ser o tratamento em larga escala e o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais.

As obrigações do agente de tratamento de pequeno porte


Reiteramos: a dispensa ou flexibilização das obrigações dispostas no regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.


O que se espera é que os agentes de tratamento de pequeno porte possam cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais (art. 37 da LGPD) de forma simplificada.


Em relação à comunicação de incidentes de segurança, a ANPD ainda vai dispor sobre flexibilização ou procedimento simplificado.

O Encarregado pelo Tratamento de Dados Pessoais


Aqui vemos um diferencial em relação às demais empresas regidas pelo art.41 da LGPD: embora a indicação de encarregado por parte dos agentes de tratamento de pequeno porte seja considerada política de boas práticas e governança, não existe essa obrigação legal e os que não o fizerem devem disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.


Mais uma crítica que tem sido feita ao regulamento: a ME e EPP não é obrigada a indicar um encarregado, mas precisa ter alguém que cumpra suas atribuições, alguém com as habilidades de encarregado, o que, na prática, não significaria uma real mudança.


Segurança e boas práticas


Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que é a política da empresa que estabelece as diretrizes a serem seguidas quanto à confidencialidade, disponibilidade, integridade e autenticidade dos dados, bem como orientar as regras para uso seguro dos ativos de informação da empresa.


Embora sua elaboração seja menos rígida, ela é um importante instrumento de gestão da segurança da informação para mitigar os riscos associados ao tratamento de dados; portanto, deve ser confeccionada de forma adequada aos propósitos da empresa.


Prazos diferenciados


Outro aspecto em favor dos agentes de tratamento de pequeno porte é que eles terão prazos em dobro para atender solicitações dos titulares referentes ao tratamento de seus dados pessoais, para comunicar à ANPD e ao titular da ocorrência de incidente de segurança, para fornecer a declaração prevista no art. 19, II da LGPD e também para atender a outros agentes de tratamento em suas solicitações de informações, documentos e relatórios.


Em relação à declaração simplificada prevista no art. 19, I da LGPD, os agentes de tratamento de pequeno porte tem até 15 dias para entrega, da data do requerimento do titular.


Importante mencionar um último tópico que desperta controvérsia: a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento em algumas situações específicas. Na resolução mencionam-se circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.


Aqui, em algumas circunstâncias, o agente de tratamento de pequeno porte fica sujeito à avaliação (pela ANPD) das circunstâncias do caso concreto para ser beneficiário da eventual dispensa ou flexibilização das obrigações contidas na LGPD, o que pode causar alguma insegurança jurídica.


Enfim, o Regulamento pretende garantir os direitos dos titulares de dados, mas com equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados, simplificando os procedimentos para esses atores.


Gostou do texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.


Temos cursos regulares já consagrados e também modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.


43 visualizações