Flexibilização da LGPD para pequenas empresas e startups
- Luana Jacudi
- 23 de mar. de 2022
- 5 min de leitura
Atualizado: 19 de jul. de 2022
Você tem um pequeno negócio e não conseguiu seguir as regras da Lei Geral de Proteção de Dados – LGPD?
Muitos empresários tiveram esta mesma dificuldade.
Por isso, no fim do mês de janeiro deste ano, foi publicada a Resolução n.º 02/2022 pela Autoridade Nacional de Proteção de Dados – ANPD, órgão responsável por fiscalizar a adequação à LGPD.
Este foi um dos regulamentos mais esperados pelos pequenos negócios desde a publicação da LGPD, por estarem enfrentando maiores dificuldades para estar em conformidade com a Lei.
Quer saber como ficou regulamentada essa flexibilização da Lei?
Preparamos este artigo explicando tudo o que você precisa saber.
O que você verá neste artigo:
Por que houve flexibilização da LGPD?
Importante iniciar este assunto com um esclarecimento: a dispensa ou a flexibilização das obrigações dispostas no Regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD. Trata-se apenas de uma simplificação de algumas regras.
A flexibilização foi necessária tendo em vistas as muitas regras e novidades criadas pela Lei, que até então eram aplicadas da mesma forma para grandes e pequenos negócios: uma padaria precisava seguir as mesmas regras do que uma grande emissora de TV, por exemplo.
Isso significa que o dono da padaria deveria contratar um Encarregado para ficar responsável pelas demandas de proteção de dados pessoais, assim como passar por um grande e complicado processo de implementação da Lei, conscientizando seus funcionários, elaborando vários documentos específicos, disponibilizando uma resposta eficiente aos titulares de dados e seguindo prazos apertados. Tudo isto requer investimento, que hoje, em razão de ser ainda uma novidade legislativa e serem poucos os profissionais com qualificação na área, pode custar caro demais para os pequenos negócios suportarem.
Assim, as dificuldades para os considerados agentes de tratamento de pequeno porte iam desde a impossibilidade de investir num programa de compliance robusto e aprofundado, até à inviabilidade de criar mais um cargo para o encarregado de dados/DPO.
Considerando que esses agentes tratam poucos dados pessoais e, muitas das vezes, este tratamento não gera grandes riscos à privacidade e à liberdade dos titulares de dados, houve uma simplificação das regras, e até mesmo um auxílio da ANPD que disponibilizará modelos para os documentos obrigatórios previstos na Lei.
Lembramos que um dos principais objetivos da LGPD é de regularizar o tratamento de dados pessoais sem que isto inviabilize o desenvolvimento econômico e tecnológico e a inovação. Ou seja, sem que inviabilize o próprio negócio.
Essa nova Resolução foi elaborada em parceria entre o Sebrae e entidades parceiras, e buscou-se dar ouvidos aos maiores desafios dos agentes na prática.
A quem se aplica a flexibilização?
A flexibilização da LGPD é para os agentes de tratamento de pequeno porte, que são:
· Microempresas;
· Empresas de pequeno porte;
· Startups;
· Pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
· Pessoas naturais que tratam dados pessoais; e
· Entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Mas atenção: existem algumas exceções. Ou seja, caso você se encaixe na lista acima mas não preencha todos os requisitos, não terá direito à flexibilização da LGPD.
A quem não se aplica a flexibilização?
O Regulamento não se aplica aos agentes que, muito embora sejam considerados agentes de pequeno porte:
a) Realizam tratamento de dados pessoais de alto riso
Um tratamento pode ser considerado de alto risco quando atender, cumulativamente, a pelo menos um critério geral e um critério específico:
Critérios gerais
quando o tratamento de dados pessoais for realizado em larga escala (devem ser considerados fatores como: o número de titulares, o volume de dados pessoais envolvidos, duração, frequência e extensão geográfica do tratamento realizado);
o tratamento de dados pessoais pode afetar significativamente interesses e direitos fundamentais dos titulares.
Critérios específicos
uso de tecnologias emergentes ou inovadoras;
vigilância ou controle de zonas acessíveis ao público;
decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Ainda há margem para interpretação do que pode ou não ser considerado tratamento de alto risco. Por esse motivo, consta na Resolução que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.
b) Possui receita bruta superior ao limite legal
A flexibilização também não se aplica a empresas que auferirem receita bruta superior ao limite permitido:
para empresas de pequeno porte: receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), em cada ano-calendário;
para startups: receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior;
ou também no caso de a empresa pertencer a um grupo econômico cuja receita global ultrapasse os limites referidos acima.
O que isso significa na prática?
A flexibilização das regras da Lei Geral de Proteção de Dados – LGPD se dá da seguinte forma:
1. Registro simplificado
Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada.
A ANPD, ainda, fornecerá modelo para esse registro.
2. Procedimento simplificado das comunicações dos incidentes de segurança
A ANPD irá fazer novo regulamento sobre procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte em uma nova regulamentação específica.
3. Liberação da nomeação do Encarregado
Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, desde que disponibilize um canal de comunicação com o titular de dados.
Assim, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança.
4. Da Segurança e das Boas Práticas
Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais.
No entanto, podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
5. Prazos diferenciados
Para os agentes de pequeno porte a quem se aplicam essas regras novas e mais fáceis de seguir são concedidos os prazos da seguinte maneira:
Em dobro:
no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, quando não houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
no fornecimento de declaração clara e completa;
em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Em até 15 dias para fornecer a declaração simplificada da confirmação de existência ou o acesso a dados pessoais, contados da data do requerimento do titular.
Conclusão
Como visto, houve o avanço da desburocratização de algumas regras da Lei Geral de Proteção de Dados – LGPD para os pequenos negócios, mas ainda existem alguns regulamentos complementares com esclarecimentos a serem lançados pelo órgão responsável pela regulamentação e fiscalização, assim como esclarecimentos e modelos a serem disponibilizados.
Esperamos que este artigo tenha sido útil para o entendimento da flexibilização da LGPD para os pequenos negócios.
Você tem alguma dúvida sobre como implementar a proteção de dados na sua empresa?
A Martins Horsth pode te ajudar!
Comentários