LGPD

LGPD: conheça as novas regras para pequenas empresas

Novo texto traz regras mais brandas para flexibilizar a adequação de empresas de pequeno porte à Lei Geral de Proteção de Dados.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela regulamentação e fiscalização da Lei Geral de Proteção de Dados (LGPD), publicou, em 28/01, um conjunto de novas regras para desburocratizar e flexibilizar a adequação de pequenas e médias empresas à lei. Neste artigo, iremos mostrar a quem se aplicam as novas regras e quais as principais mudanças para estas empresas.

A quem se aplicam as novas regras da LGPD para pequenas empresas

Em linhas gerais, as novas regras se aplicam aos agentes de tratamento de pequeno porte. São eles:

  • microempresas e empresas de pequeno porte,
  • startups;
  • organizações sem fins lucrativos.

Existem exceções?

Sim, existem exceções. Os agentes de pequeno porte não terão os benefícios de flexibilização em dois principais cenários:

1. Tratamento de dados de alto risco

As novas regras não são aplicáveis quando o tratamento for considerado de alto risco para os titulares. Um tratamento pode ser considerado de alto risco quando atender, cumulativamente, a pelo menos um critério geral e um critério específico:

Critérios gerais

  • quando o tratamento de dados pessoais for realizado em larga escala;
  • o tratamento de dados pessoais pode afetar significativamente interesses e direitos fundamentais dos titulares.

Critérios específicos

  • uso de tecnologias emergentes ou inovadoras;
  • vigilância ou controle de zonas acessíveis ao público;
  • decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
  • utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Ainda assim, existe considerável margem para interpretação do que pode ou não ser considerado tratamento de alto risco. Por esse motivo, consta na Resolução que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

É importante registrar que para caracterizar um tratamento em larga escala devem ser considerados fatores como: o número de titulares, o volume de dados pessoais envolvidos, duração, frequência e extensão geográfica do tratamento realizado.

2. Receita bruta superior ao limite permitido

Também não estão incluídas nas novas regras as empresas que auferirem receita bruta superior ao limite permitido:

  • para empresas de pequeno porte: receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), em cada ano-calendário;
  • para startups: receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior;
  • ou também no caso de a empresa pertencer a grupo econômico cuja receita global ultrapasse os limites referidos acima.

O que muda na LGPD para as pequenas empresas?

Dentre as principais obrigações suavizadas a partir das novas regras, temos:

Encarregado de Proteção de Dados (DPO)

Os agentes de pequeno porte não precisarão mais indicar um encarregado de Proteção de Dados. Até então, a indicação de um encarregado era obrigatória independente do porte da empresa. Apesar da mudança, a ANPD informa que a nomeação deste profissional, mesmo que não obrigatória, é vista como uma boa prática de governança.

Importante destacar que a empresa de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

Prazos

A partir de agora, os agentes de pequeno porte passam a gozar de flexibilizações também em relação aos prazos. Vejamos dois exemplos:

  • prazo em dobro para atender às solicitações dos titulares sobre o tratamento de seus dados pessoais. A LGPD prevê, como regra geral, um prazo de 15 dias. A partir das com as novas regras, os agentes de pequeno porte podem atender a estas solicitações em até 30 dias;
  • prazo em dobro para comunicar a ocorrência de incidente de segurança (desde que não tenha risco de comprometer a integridade dos titulares ou a segurança nacional).

A definição de alguns prazos ainda segue pendente de regulamentação pela ANPD.

Registro de atividades de tratamento

A LGPD prevê que agentes de tratamento, no geral, devem guardar registros de todas as suas operações de tratamento de dados pessoais. A operacionalização desta obrigação pode ser um desafio e tanto, considerando, por exemplo, a necessidade de guarda de registros de todo o ciclo de vida dos dados pessoais, a finalidade do tratamento, a descrição de categorias de dados pessoais, medidas de segurança, períodos de retenção e exclusão, informações sobre gestão de terceiros etc.

Uma das mudanças previstas é a simplificação do registro das atividades de tratamento, a partir de um modelo que será disponibilizado. Contudo, este ponto ainda depende de regulamentação e da disponibilização do referido modelo.

Segurança

A Resolução prevê, ainda, requisitos mais brandos no que diz respeito à segurança da informação:

  • permite às empresas a criação de uma Política de Segurança da Informação simplificada;
  • determina que os agentes de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias. Aqui, é importante lembrar que, em outubro de 2021, a ANPD publicou um Guia Orientativo sobre Segurança da Informação para agentes de tratamento de pequeno porte, contendo um conjunto de medidas mínimas necessárias
  • a ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, tal mudança, contudo, este ponto segue pendente de regulamentação

Cumpre destacar: as novas regras não isentam as empresas de pequeno porte do cumprimento dos demais dispositivos da LGPD, incluindo mas não se limitando às bases legais, princípios e direitos dos titulares.

A LGPD ficou mesmo mais simples para pequenas empresas?

De um lado, a flexibilização de determinados requisitos da LGPD cumpre um papel importante na desburocratização e viabilização da adequação de agentes de tratamento de pequeno porte. Caso estas empresas precisassem adotar as medidas originalmente previstas na LGPD na sua completude, potencialmente teriam impactos operacionais e financeiros desnecessários.

Apesar da boa notícia, ainda há um longo caminho pela frente. É possível perceber que as novas regras deixam uma série de pontos em aberto, que vêm levantando dúvidas e gerando incerteza.

Como vimos, seguem pendentes definições específicas de tratamento de alto risco, especificidades sobre a simplificação dos registros das atividades de tratamento ,sobre a simplificação do processo de comunicação de incidentes, incertezas sobre determinados prazos, dentre outros pontos.

Assim, é necessário que tais lacunas sejam preenchidas o quanto antes, para que as novas regras tragam mais benefícios do que riscos e insegurança jurídica.

 

Fonte: Resultados Digitais

Deixe um comentário

O seu endereço de e-mail não será publicado.