Resolução 2 da ANPD aprova aplicação da LGPD para agentes de tratamento de pequeno porte.

A Resolução da ANPD indicou o que entende como empresa de pequeno porte

quais sejam: microempresas, empresas de pequeno porte, startups.

As obrigações trazidas pela LGPD para empresas de pequeno porte foram suavizadas e

a Lei continua valendo no que tange ao tratamento de dados pessoais físicos ou digitais.

As obrigações suavizadas basicamente são:

• Registro simplificado das atividades de tratamento;

A contratação de DPO (encarregado de dados) deixa de ser obrigatório mas será

considerado como uma política de boas práticas fornecendo prova que a empresa cumpre a LGPD.

Ao agente de tratamento de pequeno porte que não indicar um encarregado deve

disponibilizar um canal de comunicação com o titular de dados para atender o disposto

na LGPD, divulgando-o nas redes sociais.

Não poderão usufruir destes benefícios as empresas de pequeno porte que I - realizam

tratamento de alto risco para os titulares, II - aufiram receita bruta superior ao limite

estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups,

no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; e III- pertençam a grupo

econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no

inciso II, conforme o caso.

A Resolução também determinou a concessão de prazo em dobro para as empresas de

pequeno porte atender solicitações dos titulares de dados, comunicar a Autoridade de

Proteção de Dados e ao titular da ocorrência de incidente de segurança que possa

acarretar risco ou dano relevante aos titulares, em alguns casos, fornecer declaração

clara e completa, que indique a origem dos dados, a inexistência de registro, os

critérios utilizados e a finalidade do tratamento, observados os segredos

comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da

data do requerimento do titular prevista no art. 19, II da LGPD;

Para fins de fins de negociação, mediação e conciliação em reclamações apresentadas

por titulares de dados (extrajudiciais, judiciais e administrativas) realizadas pelo titular,

ANPD, PROCON, MP, as empresas de pequeno porte já estão organizando- se por meio

de entidades de representação da atividade empresarial o que vem facilitando a

adaptação a nova lei

IV - em relação aos prazos estabelecidos nos normativos próprios para a apresentação

de informações, documentos, relatórios e registros solicitados pela ANPD a outros

agentes de tratamento.

Parágrafo único. Os prazos não dispostos neste regulamento para agentes de tratamento

de pequeno porte serão determinados por regulamentação específica.

Art. 15. Os agentes de tratamento de pequeno porte podem fornecer a declaração

simplificada de que trata o art. 19, I, da LGPD no prazo de até quinze dias, contados da

data do requerimento do titular.

DAS OBRIGAÇÕES DO AGENTE DE TRATAMENTO DE PEQUENO PORTE

Seção I

Das obrigações relacionadas aos direitos do titular

Art. 7º Os agentes de tratamento de pequeno porte devem disponibilizar informações

sobre o tratamento de dados pessoais e atender às requisições dos titulares em

conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio:

I - eletrônico;

II - impresso; ou

III - qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às

informações pelos titulares.

Art. 8º Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que

realizem tratamento de alto risco, organizarem-se por meio de entidades de

representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais

para fins de negociação, mediação e conciliação de reclamações apresentadas por

titulares de dados.

Seção II

Do Registro das Atividades de Tratamento

Art. 9º Os agentes de tratamento de pequeno porte podem cumprir a obrigação de

elaboração e manutenção de registro das operações de tratamento de dados pessoais,

constante do art. 37 da LGPD, de forma simplificada.

Parágrafo único. A ANPD fornecerá modelo para o registro simplificado de que trata o

caput.

Seção III

Das Comunicações dos Incidentes de Segurança

Art. 10. A ANPD disporá sobre flexibilização ou procedimento simplificado de

comunicação de incidente de segurança para agentes de tratamento de pequeno porte,

nos termos da regulamentação específica.

Seção IV

Do Encarregado pelo Tratamento de Dados Pessoais

Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o

encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.

§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve

disponibilizar um canal de comunicação com o titular de dados para atender o disposto

no art. 41, § 2º, I da LGPD.

§ 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte

será considerada política de boas práticas e governança para fins do disposto no art. 52,

§1º, IX da LGPD.

Seção V

Da Segurança e das Boas Práticas

Art. 12. Os agentes de tratamento de pequeno porte devem adotar medidas

administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de

segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível

de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Parágrafo único. O atendimento às recomendações e às boas práticas de prevenção e

segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será

considerado como observância ao disposto no art. 52, §1º, VIII da LGPD.

Art. 13. Os agentes de tratamento de pequeno porte podem estabelecer política

simplificada de segurança da informação, que contemple requisitos essenciais e

necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de

acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,

alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A política simplificada de segurança da informação deve levar em consideração os

custos de implementação, bem como a estrutura, a escala e o volume das operações do

agente de tratamento de pequeno porte.

§ 2º A ANPD considerará a existência de política simplificada de segurança da

informação para fins do disposto no art. 6º, X e no art. 52, §1º, VIII e IX da LGPD.

TÍTULO III

DOS PRAZOS DIFERENCIADOS

Art. 14. Aos agentes de tratamento de pequeno porte será concedido prazo em dobro:

TÍTULO IV

DISPOSIÇÕES FINAIS

Art. 16. A ANPD poderá determinar ao agente de tratamento de pequeno porte o

cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento,

considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume

das operações, bem como os riscos para os titulares.