Migalhas de Peso

Flexibilização da LGPD

Para microempresas, EPP, empreendedor individual e startup

13/4/2022

(Imagem: Artes Migalhas)

A ANPD - Autoridade Nacional de Proteção de Dados publicou a resolução do conselho diretor/ANPD 2/22, que regulamenta o tratamento jurídico diferenciado da LGPD - Lei Geral de Proteção de Dados para agentes de tratamento de pequeno porte, incluindo startups.

O regulamento tem como objetivo trazer proteção aos direitos dos titulares, obedecendo à risca a LGPD, mas dando maior flexibilidades aqueles que são fundamentais para a economia e desenvolvimento tecnológico do país. As regras de flexibilização da lei são aplicadas às Microempresas que faturam até R$ 360 mil por ano e EPP - Empresas de Pequeno Porte que faturam de R$ 360 mil a R$ 4,8 milhões por ano.

Importante ressaltar que a flexibilização da lei abrange também o microempreendedor Individual que tenha faturamento até R$ 81 mil por ano e que não participe como sócio, administrador ou titular de outra empresa, contrate no máximo um empregado e exerça atividades econômicas. Fazem parte dessa mesma lista as startups, pessoas jurídicas de direito privado com receita bruta anual igual ou inferior a R$ 4,8 milhões, organizações sem fins lucrativos e pessoas naturais que exerçam atividade econômica com receita bruta também inferior a R$ 4,8 milhões por ano.

Importante ressaltar que a flexibilização das obrigações dispostas no regulamento da ANPD não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da lei, devendo sempre serem observados os princípios norteadores da legislação e as bases legais que autorizam o tratamento de dados pessoais.

Os principais itens de flexibilização são as respostas às solicitações dos titulares podem ser feitas por meio eletrônico, impresso ou qualquer outro meio que seja de fácil acesso e assegure os direitos dos titulares. O registro das atividades de tratamento pode ser feito de forma simplificada, seguindo modelo que será fornecido pela ANPD e dispensa do dever de indicação do DPO - Data Protection Officer –profissional encarregado pelo tratamento de dados pessoais, apenas mantendo a necessidade de criação de um canal de comunicação entre os titulares.

É importante destacar que o regulamento deixa claro que, mesmo com a dispensa de indicação de DPO, caso haja a indicação, será considerada política de boas práticas e governança pela ANPD. Além disso, estabelece forma simplificada de resposta ao incidente de segurança da informação, a ser regulamentada pela ANPD e a possibilidade de adoção de política simplificada de segurança da informação. O regulamento também estabelece alguns prazos diferenciados para o cumprimento de obrigações por parte dos agentes de tratamento de pequeno porte.

A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, tendo como base as circunstâncias relevantes da situação, como por exemplo, a natureza ou o volume das operações e os riscos para os titulares.

Estão excluídas da aplicação do regulamento as empresas que, mesmo tendo qualquer característica acima, realizem tratamento de alto risco para os titulares ou que obtenham receita bruta superior a R$ 360 mil por ano e aquelas pertencentes a grupo econômico de fato ou de direito com receita global superior a R$ 360 mil por ano.

Mas como saber se efetivamente a empresa trata dados de alto risco? É necessário ter a combinação de critérios estabelecidos no próprio regulamento. Há dois tipos de critérios, os gerais e os específicos.

Os gerais são:

a) quando ocorrer tratamento de dados pessoais em larga escala, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como duração, frequência e extensão geográfica do tratamento realizado;

b) ou quando ocorrer  tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizado, entre outras situações, por atividade de tratamento que possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Como critérios específicos, o regulamento estabelece o uso de tecnologias emergentes ou inovadoras, a vigilância ou controle de zonas acessíveis ao público, as decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou aspectos da personalidade do titular e por fim, a utilização de dados pessoais sensíveis ou de crianças, adolescentes ou idosos. Portanto, necessária a cuidadosa análise por profissionais capacitados, já que uma análise feita de forma equivocada poderá gerar riscos para a empresa. 

Adriana Garibe
Responsável pela área de Direito Digital do escritório LEMOS Advocacia Para Negócios.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

LGPD e o uso de dados pessoais

4/4/2022
Migalhas de Peso

LGPD: uma oportunidade para a cultura de segurança da informação

31/3/2022
Migalhas de Peso

Os documentos fundamentais para adequação da LGPD

7/3/2022

Artigos Mais Lidos

Cobrança do IR do doador em adiantamento da herança?

13/11/2024

A PEC da ilusão

13/11/2024

Diferenças entre LTDA X SA e ao anteprojeto de reforma do CC

13/11/2024

A recente decisão do STJ e o direito dos lojistas de shopping center em propor isoladamente a ação de exigir contas dos encargos locatícios

13/11/2024

Análise das modalidades de aumento do capital social: Conceitos e aplicações

14/11/2024