A Autoridade Nacional de Proteção de Dados ANPD publicou a Resolução CD/ANPD Nº 02 de 27 de Janeiro de 2022, que regulamenta o tratamento jurídico diferenciado da LGPD (Lei Geral de Proteção de Dados) para agentes de tratamento de pequeno porte, incluindo startups.
O Regulamento busca dar cumprimento ao comando legal de que a ANPD deve estabelecer normas e procedimentos simplificados para esses atores, levando em consideração não apenas seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas.
Definições sobre agentes de pequeno porte:
- Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
- Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
- Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e
- Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Para esses agentes, o registro de operações de tratamento, bem como a comunicação de incidentes de segurança, serão feitos de forma simplificada a partir de modelo/procedimento disponibilizado pela própria ANPD. Além disso, diversos prazos de comunicação com titulares e com a ANPD serão contados de maneira estendida ou em dobro.
Os agentes não serão obrigados a indicar o encarregado de tratamento, porém devem manter canal de comunicação com o titular de dados e caso realize a indicação de um encarregado, será considerado política de boas práticas e governança.
O Regulamento também apresenta, definições quanto aos critérios de segurança e boas práticas para os agentes, que devem adotar medidas mínimas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas políticas, no entanto, podem considerar os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente como fatores de simplificação e limitação.
Importante: As flexibilizações consideradas não se aplicam aos agentes que, mesmo se encaixando nas definições da regulamentação, realizam tratamentos definido como “de alto risco”, sendo estes:
Os tratamentos em larga escala ou que possam afetar significativamente interesses e direitos fundamentais dos titulares.
Em ambos os casos, estes tratamentos devem ser caracterizados pelos seguintes critérios específicos:
- uso de tecnologias emergentes ou inovadoras;
- uso de tecnologias de vigilância ou controle de espaços abertos ao público;
- que tomem decisões unicamente com base em tratamento automatizado de dados pessoais; ou
- utilização de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes e de idosos.
A resolução para os agentes de pequeno porte passou a vigorar a partir de (28/01/2022).
Fonte: ANPD. GOV.BR
Deixe aqui seu comentário