Aplicação da LGPD para agentes de tratamento de pequeno porte

Por Marcelo Bueno
Especialista em Gente & Gestão
Athros Auditoria e Consultoria

Em 27 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD N°2, que aprova o Regulamento de aplicação da Lei n° 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.

Importante definir que agentes de tratamento de pequeno porte são microempresas, empresas de pequeno porte, startup, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou operador. Vale ressaltar que não poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que:

I – Realizem tratamento de alto risco para os titulares, ressalvada a hipótese de consentimento do titular de dados;

II – Microempresas que aufiram receita bruta superior a R$ 240.000,00 (Duzentos e quarenta mil reais) em cada ano-calendário. Empresas de pequeno porte que aufiram receita bruta superior a R$ 2.400.000,00 (Dois milhões e quatrocentos mil reais) em cada ano-calendário.

III – Empresas que pertençam a grupos econômicos de fato ou de direito, cuja receita global ultrapasse os limites referidos ao item II.

A Resolução minimizou algumas obrigações para os agentes de tratamento de pequeno porte, são elas:

1. Dispensa na obrigação de fazer a nomeação de um encarregado de dados pessoais – Data Protection Officer (DPO), cargo criado exclusivamente para cuidar da segurança dos dados;
2. Flexibilização com base no risco e escala de tratamento e no atendimento;
3. Flexibilização do atendimento às requisições dos titulares por meio eletrônico ou impresso;
4. Dispensa na obrigação de eliminar ou bloquear dados excessivos;
5. Prazo dobrado em relação a outros agentes de tratamento;
6. Flexibilização do relatório de impacto de forma simplificada; e
7. Disponibilização de guias para auxílio na adequação.

Apesar da flexibilização, será necessário por parte de todas as empresas desenvolver protocolos e uma cultura organizacional jamais exigida antes para minimizar o risco de multas que podem impactar diretamente sua operação.

Também acredito que, a longo prazo, essa cultura estará enraizada na sociedade facilitando às empresas terem processos mais seguros, em que todos terão de forma intrínseca a responsabilidade de tratar os dados pessoais de forma segura e sigilosa.

Enquanto isso não ocorre, as empresas deverão investir em treinamentos, mapeamento de processos e criação de regras e normas de como tratar os dados pessoais para estarem em conformidade com a legislação, cujo objetivo é trazer disciplina nos tratamentos dos dados oferecendo proteção e liberdade aos cidadãos.

Visando facilitar a reflexão sobre o tema, seguem cinco dicas para implantar a cultura de LGPD em seus processos:

1. Entenda o fluxo de informações dentro da sua empresa;
2. Escolha pessoas que estruturam os processos para serem responsáveis em auditar por onde caminham os dados pessoais dentro da sua organização;
3. Colete apenas informações essenciais para o seu negócio;
4. Seja claro em relação ao tempo de uso dos dados; e

Adeque o seu site e qualquer outro ponto de coleta de dados.