A Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.709/2018, tem como objetivo estabelecer diretrizes para o tratamento de dados pessoais, garantindo a privacidade e a segurança dessas informações. Nesse sentido, Autoridade Nacional de Proteção de Dados (ANPD) aprovou a Resolução CD/ANPD nº 2/2022, que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte.

Os agentes de tratamento de pequeno porte são definidos como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, além de pessoas naturais e entes privados despersonalizados que realizam o tratamento de dados pessoais, assumindo obrigações típicas de controlador ou operador.

A Resolução CD/ANPD nº 2/2022 estabelece algumas disposições importantes para esses agentes de tratamento de pequeno porte. Em primeiro lugar, é importante destacar que o tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos não está sujeito a essa regulamentação, bem como outras hipóteses previstas na LGPD.

No que diz respeito ao tratamento de alto risco para os titulares de dados, os agentes de tratamento de pequeno porte que se enquadrem nessa categoria não poderão se beneficiar do tratamento jurídico diferenciado previsto na resolução. Além disso, aqueles que obtiverem receita bruta superior aos limites estabelecidos pela legislação ou pertencerem a grupos econômicos que ultrapassem esses limites também não serão elegíveis às regras específicas para pequenas empresas.

No âmbito do tratamento de dados pessoais, os agentes de tratamento de pequeno porte devem cumprir as obrigações previstas na LGPD, exceto aquelas dispensadas ou flexibilizadas pela resolução. Isso significa que, apesar do tratamento diferenciado, essas empresas ainda devem seguir as bases legais, os princípios e demais dispositivos da LGPD, bem como outras disposições legais, regulamentares e contratuais relacionadas à proteção de dados pessoais e aos direitos dos titulares.

Entre as obrigações específicas para os agentes de tratamento de pequeno porte, destacam-se:

  1. Disponibilização de informações sobre o tratamento de dados pessoais e atendimento às requisições dos titulares, por meio eletrônico, impresso ou outro meio que assegure os direitos previstos na LGPD e facilite o acesso às informações pelos titulares.

  2. Possibilidade de organização por meio de entidades de representação da atividade empresarial, pessoas jurídicas ou pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas pelos titulares de dados.

     

  3. Elaboração e manutenção simplificada do registro das operações de tratamento de dados pessoais, conforme modelo fornecido pela ANPD.

     

  4. É importante ressaltar que os agentes de tratamento de pequeno porte estão dispensados da obrigação de indicar um encarregado pelo tratamento de dados (DPO), conforme previsto no artigo 41 da LGPD. No entanto, eles devem disponibilizar um canal de comunicação com os titulares para atender às demandas relacionadas aos dados pessoais, garantindo o exercício dos direitos previstos na lei.

    A resolução também estabelece prazos diferenciados para o cumprimento de determinadas obrigações. Por exemplo, os agentes de tratamento de pequeno porte têm prazo em dobro para atender às solicitações dos titulares de dados, responder a reclamações e comunicar incidentes de segurança, e para a realização de comunicação em caso de incidentes de segurança, quando comparados aos agentes de tratamento não contemplados pela norma em apreço.

    Bem assim, a resolução trouxe uma simplificação do Registro de Operações de Tratamento (Inventário), através de modelo simplificado a ser disponibilizado pela ANP, explicitando ainda um procedimento de comunicação de incidentes de segurança mais simplificado.

    Essas medidas têm como objetivo simplificar e adequar as exigências da LGPD à realidade das pequenas empresas, levando em consideração suas limitações de recursos e capacidade de implementação. No entanto, é fundamental que os agentes de tratamento de pequeno porte estejam cientes de suas responsabilidades e se esforcem para cumprir as obrigações estabelecidas pela LGPD, garantindo a proteção adequada dos dados pessoais e evitando sanções e penalidades.

    Em resumo, as novas regras da LGPD impactam as pequenas empresas ao estabelecer diretrizes específicas para os agentes de tratamento de pequeno porte, sendo que, muito embora haja flexibilizações e tratamento diferenciado, é essencial que esses modelos de empresas compreendam e cumpram as obrigações previstas na LGPD, garantindo a proteção dos dados pessoais e o respeito aos direitos dos titulares. A adaptação à legislação de proteção de dados é fundamental para a construção de confiança com os clientes e para o desenvolvimento de relações comerciais sólidas e éticas.