Impacto da LGPD nas Pequenas e Médias empresas – Small and Medium Business

Mediação como forma de reinserção social do indivíduo em situação de rua
17/08/2022
A LGPD no Processo Eleitoral
04/04/2023
Mediação como forma de reinserção social do indivíduo em situação de rua
17/08/2022
A LGPD no Processo Eleitoral
04/04/2023
  • Por Anna Carolina de Medeiros Silva e Renata Proximo

Introdução

A Lei Geral de Proteção de Dados (LGPD) estabelece regras para o tratamento de dados pessoais, ou seja, ela estabelece a forma que os dados de pessoas físicas serão utilizados. Esses dados podem estar alocados em documentos físicos ou digitais, e essas regras são direcionadas as pessoas jurídicas de direito público ou de direito privado, independentemente do tamanho e tipo de empresa, e, profissionais que utilizem os dados de forma econômica.

A lei foi criada em agosto/2018, entrou parcialmente em vigor em setembro/2020, e, em agosto/2021, os artigos relacionados as sanções por descumprimento também começaram a vigorar.

Assim, desde setembro/2020, as pessoas físicas, chamadas de titulares de dados, possuem o direito de saber, perante terceiros, identificados como controladores de dados, como os seus dados pessoais serão utilizados.

E, a partir de agosto/2021, as sanções por descumprimento da lei já podem ser aplicadas àqueles que não se adequaram a nova legislação.

Recentemente, a ANPD (Autoridade Nacional de Proteção de Dados), com base nas competências que lhe foram atribuídas no art. 55-J, inciso XVIII da LGPD, regulamentou a aplicação da lei aos agentes de tratamento de pequeno porte.

A Resolução CD/ANPD nº 02/2022 foi publicada em 02/01/2022, com data de vigência no dia de sua publicação, e trouxe a dispensa e/ou flexibilização das regras para tratamento de dados pessoais a esses pequenos agentes.

Neste artigo, será demonstrado a aplicabilidade da LGPD para os agentes de tratamento de pequeno porte, bem como, as diferenças de aplicação sobre os demais agentes.

O que muda com a LGPD

Com a vigência da lei, a conduta dos controladores de dados deve ser voltada a atender os princípios, bases legais e cultura da privacidade e proteção de dados pessoais.

Assim, os agentes de tratamento deverão sempre observar a boa – fé e os princípios principais para manusear os dados pessoais, que, de forma prática, são:

a) Princípio da Finalidade

O controlador terá que informar o titular de dados pessoais sobre a finalidade de cada dado pessoal coletado.

b) Princípio da Adequação

O controlador de dados deverá utilizar os dados apenas para as finalidades informadas ao titular dos dados pessoais, não podendo utilizar de forma diversa a apresentada.

c) Princípio da Necessidade

Só poderão ser coletados os dados direcionados a determinada finalidade informada ao titular, devendo-se sempre observar a necessidade da coleta e excluindo coleta excessiva, dados desnecessários para o cumprimento da finalidade.

d) Princípio do Livre Acesso

O controlador dos dados deverá garantir ao titular de dados o livre acesso a todos os seus dados e a forma como eles são tratados dentro da instituição. Ou seja, será necessário garantir ao titular, de forma clara, direta, explícita e gratuita, todo o ciclo de vida de seus dados dentro da empresa, desde a forma em que foram coletados até a forma que serão descartados.

e) Princípio da Qualidade dos Dados

Deve o controlador garantir aos titulares de dados a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

f) Princípio da Transparência

O controlador deverá garantir aos titulares de dados, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e todos os respectivos agentes de tratamento, devendo sempre observar os segredos comercial e industrial.

g) Princípio da Segurança

O controlador é responsável por utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

h) Princípio da Prevenção

Deve o controlador adotar medidas de prevenção quanto a ocorrência de danos em virtude do tratamento de dados pessoais.

i) Princípio da Não Discriminação

A lei traz que o controlador não pode realizar o tratamento de dados pessoais se estes forem para fins discriminatórios ilícitos e/ou abusivos.

j) Princípio da Responsabilização e Prestação de Contas

É dever do controlador demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Além desses princípios, o controlador somente poderá tratar os dados dos titulares de acordo com as bases legais apontadas em lei. Abaixo explicamos as bases legais de uma forma mais prática:

a) Obrigação legal ou regulatória: nessa hipótese, o tratamento de dados deve ser uma obrigação, não podendo ser opcional. Ex.: declaração de imposto de renda, cumprimento de acordo judicial.

b) Pela administração pública: essa base legal pode ser utilizada somente por órgãos da administração pública. Ex.: censo e estudos governamentais.

c) Estudos por órgão de pesquisa: essa base legal pode ser utilizada somente por órgãos de pesquisa sem fins lucrativos. Ex.: IBOPE e pesquisas encomendadas pelo governo.

d) Tutela da saúde: essa base legal pode ser utilizada apenas por profissionais da saúde, autoridade sanitária ou serviços de saúde. Ex.: consulta médica.

e) Proteção da vida: para a utilização dessa base legal, o titular dos dados deve estar em risco de vida para justificar o tratamento dos dados. Ex.: atendimento de urgência.

f) Contrato com o titular: nesse caso, o tratamento dos dados deve ser indispensável para o cumprimento do contrato, que só será realizado após firmado com o titular. Ex.: prestação de serviços para o titular, atendimento ao cliente.

g) Exercício regular do direito: quando o tratamento é necessário para a defesa de direitos em processos administrativos, judiciais ou arbitrais. Ex.: análise pelo departamento jurídico, arquivamento de recibos de pagamento e comprovantes de entrega.

h) Proteção do crédito: quando o tratamento tiver como finalidade a proteção do crédito, devendo-se respeitar a legislação aplicável à proteção de crédito. Ex.: consulta em órgãos de proteção ao crédito.

i) Segurança | Prevenção à fraude: quando a informação é utilizada para garantir a segurança do titular ou prevenir fraudes nos processos de identificação e autenticação de cadastro. Ex.: cadastro de digital para entrada na empresa.

j) Consentimento: quando nenhuma outra base legal puder justificar o tratamento de dados, o titular deverá dar, expressamente, de forma específica, livre e informada, seu consentimento, devendo este ser revogável a qualquer tempo. Ex.: formulário de “fale conosco”, com coleta de consentimento separado para cadastro em mailing.

k) Legítimo interesse: essa base legal deve ser evitada. Pode ser fundamentada no intuito de apoiar as atividades do controlador ou para benefício do titular, desde que alinhadas com as expectativas do titular, devendo ser respeitado seus direitos. Ex.: dados e estatística de uso de serviços para melhorias.

Concomitante ao apontado acima, o controlador de dados deverá garantir ao titular, retorno sobre as solicitações que lhe são de direito, devendo respondê-lo de imediato, se a solicitação for simples e, em 15 dias em caso de solicitações mais complexas.

Abaixo, os direitos dos titulares:

a) Confirmação do tratamento

O controlador tem o dever de apresentar ao titular de dados se os dados dele (a) estão sendo tratados.

b) Acesso aos dados

O controlador tem o dever de disponibilizar, de forma clara, objetiva e gratuita, cópia dos dados pessoais dos titulares, bem como informações específicas sobre o tratamento.

c) Correção dos dados

O controlador tem o dever de possibilitar ao titular a correção, complemento ou atualização dos dados pessoais incorretos, incompletos ou desatualizados.

d) Anonimização, bloqueio ou eliminação

O controlador de dados tem o dever de anonimizar, bloquear ou eliminar os dados tratados de forma excessiva, desnecessária ou irregularmente.

e) Revogação do consentimento

O controlador tem o dever de eliminar todos os dados que sejam tratados com base no consentimento, caso o titular não queira mais que o controlador realize o tratamento de dados.

f) Portabilidade

O controlador tem o dever de ceder os dados pessoais dos titulares, caso este (a) deseje transferir para outro controlador. Esses dados devem estar em formato interoperável.

Ainda, caso o controlador de dados não se encaixe no enquadramento da Resolução CD/ANPD nº 02/2022, deverá, obrigatoriamente, nomear um Encarregado de Dados Pessoais, que é a figura responsável pela comunicação entre os titulares de dados e a ANPD em relação ao controlador, bem como, por auxiliar na cultura de privacidade e proteção de dados na empresa.

Dessa forma, a LGPD traz que o controlador deverá realizar o tratamento de dados pessoais seguindo o conjunto de regras, expostas em lei, sob pena de multas, advertências e demais penalidades apontadas no art. 52.

Aplicabilidade da Lei

Conforme dito anteriormente, a Lei Geral de Proteção de Dados é a responsável por estabelecer regras para o tratamento de dados pessoais, ou seja, nosso país possui agora uma lei específica sobre como os dados das pessoas físicas devem ser manuseados nas empresas, sejam elas públicas ou privadas, independentemente de seu tamanho ou faturamento anual, bem como, profissionais autônomos e órgãos públicos.

Todas essas figuras que possuem contato de tratamento de dados, são chamadas de controladores de dados.

Os controladores são os sócios das empresas, os donos dos estabelecimentos, as pessoas que realizam a tomada de todas as decisões, àqueles que respondem legalmente pela instituição.

Mas, o controlador não consegue realizar todo o envolvimento com a adequação à legislação, normalmente, ele (a) possui funcionários e/ou terceirizados que o auxiliam na administração da empresa.

Estes são chamados de operadores de dados, que são aqueles que farão todo o tratamento de dados pessoais conforme as orientações do controlador.

Ou seja, os operadores não decidem sobre como será realizado o tratamento, mas tão somente, realizam o tratamento nos moldes estipulados e aprovados pelo controlador.

Essas duas figuras são chamadas de agentes de tratamento de dados pessoais, os reais responsáveis por todo projeto de governança que envolve a privacidade e proteção de dados pessoais.

Cabe apontar que, a LGPD, não se limita a regulamentar apenas os dados localizados em documentos digitais, mas também, nos documentos físicos.

Assim, temos que os agentes de tratamento devem mapear todos os documentos (físicos e digitais) que se encontram no interior da instituição, a fim de conseguirem cumprir com seus deveres junto a lei.

Além do mapeamento, atividade de suma importância na governança para a cultura de privacidade e proteção de dados, bem como, elaboração de documentos obrigatórios para a LGPD, os agentes devem elaborar políticas e regulamentos específicos, que demonstrem quais as atividades relacionadas a proteção de dados que instituição toma.

Dentre essas políticas e regulamentos, o art. 50 da lei, traz as boas práticas para governança, que envolvem:

a) Estabelecimento de condições da organização;

b) Regime de funcionamento;

c) Procedimentos tomados, que incluam a forma que as reclamações deverão ser realizadas e as petições de titulares;

d) Normas de segurança;

e) Padrões técnicos utilizados;

f) Obrigações específicas para todos envolvidos no tratamento de dados pessoais;

g) Quais as ações educativas realizadas pelo estabelecimento;

h) Os mecanismos internos de supervisão e mitigação de riscos;

i) E quaisquer outros aspectos que versem sobre a atividade de privacidade e proteção de dados.

Deve-se levar em consideração, quando estabelecidas todas as regras, as seguintes informações:

a) Natureza da coleta dos dados

Os agentes devem apontar a forma que o dado foi coletado. Ex.: se direto com o titular de dados, se mediante compartilhamento de terceiro.

b) Atividade relacionada a coleta

Os agentes devem apontar qual a atividade exercida junto àquele dado pessoal coletado. Ex.: dado coletado para: (i) elaboração de contrato de prestação de serviços; (ii) exercício da função de gerente; (iii) cadastro de cliente; (iv) realização de marketing, etc.

c) Finalidade

Os agentes de tratamento devem apontar para qual finalidade o dado será utilizado. Ex.: dado coletado será utilizado para elaboração de: (i) holerite, (ii) imposto de renda, (iii) cadastro interno, etc.

d) Probabilidade e gravidade dos riscos

Os agentes devem apontar qual a probabilidade de acontecer um incidente de segurança e qual será a gravidade desse incidente junto ao titular de dados. Ex.: coleta de dados pessoais para cadastro | baixa probabilidade de ocorrer incidente de segurança | alto índice de gravidade.

e) Benefícios do tratamento

Os agentes devem apontar quais benefícios envolvem o tratamento de dados do titular perante a instituição. Ex.: com seus dados poderemos proporcionar uma melhor experiência na oferta de produtos do nosso estabelecimento.

Nesse sentido, a fim de atender os princípios da lei, o controlador deverá implementar no programa de governança:

a) O comprometimento em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à privacidade e proteção de dados pessoais;

b) A aplicação destas em todo o conjunto de dados pessoais que esteja no seu controle, independentemente do modo que realizou a coleta;

c) A adaptação à estrutura, à escala e ao volume das operações que realiza, bem como, a sensibilidade dos dados tratados, a fim de ter um tratamento de dados lícito, apenas com a coleta dos que são realmente necessários;

d) Implementar as políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) Estabelecer relação de confiança junto ao titular de dados, sendo sempre transparente e assegurando mecanismos de participação deste;

f) Integração junto a estrutura geral de governança, devendo ser estabelecido e aplicado mecanismos de supervisão interna e externa;

g) Planos de resposta a eventuais incidentes e suas remediações, e;

h) Seja atualizado constantemente com base nas informações obtidas no monitoramento contínuo e avaliações periódicas.

O programa de governança à privacidade e proteção de dados deverá demonstrar a efetividade sempre que apropriado, e, especialmente quando for solicitado pelo ANPD ou qualquer outra entidade que for responsável por promover o cumprimento de boas práticas ou código de conduta.

Essas regras deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas pela ANPD.

Impacto para o pequeno negócio

Como sabemos, a Lei Geral de Proteção de Dados é aplicável e deve ser observada por todas as empresas, não só as grandes corporações, mas também o pequeno empresário.

A legislação impacta qualquer negócio que realize tratamento de dados pessoais, por isso, é importante que todo empresário invista em ações para proteger os dados de seus clientes, empregados, parceiros, etc.

Assim, a LGPD pode impactar pequeno negócios de formas diversas. Abaixo, podemos enumerar alguns impactos importantes para o pequeno negócio:

a) As multas contidas em lei, são as mesmas para qualquer tipo de organização, ou seja, podem variar de 2% do faturamento anual, até o teto de R$ 50 milhões;

b) A necessidade de investir em segurança da informação, já que o pequeno negócio também será responsabilizado em caso de ataque hacker ou vazamento de dados.

Importante observar que a Segurança da Informação é um dos princípios da LGPD e, assim, é um requisito para estar em conformidade com a lei. 

Além disso, a Governança Corporativa faz parte do dia a dia das grandes empresas, mas o pequeno empresário muitas vezes não faz a menor ideia do que isso significa.

Contudo a Governança deve ser observada e implantada na estrutura e diretrizes internas das empresas de pequeno porte também.

Portanto, a Governança se torna importante para que seja possível a implantação de manobras ágeis e eficazes para alteração de processos que coloquem em risco os dados pessoais tratados.

Ainda pensando na Governança, a empresa também deve investir em treinamento e conscientização de seus empregados.

Outro ponto a ser observado pelo pequeno empresário, que traz impactos está no direito do cidadão estabelecido pela Lei.

Sendo eles, direito ao acesso, direito ao esquecimento e direito à portabilidade. Isso significa que mesmo o pequeno empresário deve ser capaz de atender as demandas trazidas pelo titular dos dados como:

– Fornecimento de cópia dos dados tratados, caso seja solicitado, ou seja, fornecer acesso aos dados e dar clareza do tratamento realizado;

– Deve fornecer meios de apagar os dados, devendo ter uma política de descarte, em observância do direito ao esquecimento e;

– Contar com meios de transferir os dados para terceiros em caso de solicitação feita diretamente pelo titular, ou seja, atender a portabilidade.

A LGPD demanda, em todos os aspectos, um certo investimento, tanto financeiro como estrutural também para o pequeno negócio, o que traz impactos relevantes na rotina das empresas, que não podem deixar de ser observados.

Resolução CD/ANPD Nº 02/2022

Em janeiro de 2022, foi aprovado, pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados, o regulamento que flexibiliza e simplifica a aplicação da legislação em alguns casos, para agentes de tratamento de pequeno porte.

Já nos primeiros artigos a Resolução preocupa-se em esclarecer a quem se aplica o regulamento, deixando claro que seu objetivo é tratar da aplicação da Lei 13.709/2018 para agentes de tratamento de pequeno porte.

Em seu artigo 2º, são elencados a quem se destina a resolução, sendo eles:

a) Microempresas e Empresas de Pequeno Porte: são aquelas consideradas sociedades empresárias, sociedades simples, empresa individual de responsabilidade limitada (conforme o artigo 41 da Lei 14.195/2021) e o empresário (que se enquadre no artigo 966 do Código Civil), incluindo o microempreendedor individual (nos moldes do artigo 3º e 18º-A, §1º da Lei Complementar nº 123/2006);

b) Startups: que são aquelas consideradas como sociedades empresárias com atuação voltada para inovação aplicada ao modelo de negócio, a produto ou serviço;

c) Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente: aqueles que são exclusivamente associações, organizações religiosas, partidos políticos e fundações;

d) Pessoas naturais: são os profissionais liberais ou autônomos que tratam dados pessoais. Exemplo disso são os médicos, dentistas, fisioterapeutas, etc.

e) Entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador e de operador.

É importante ressaltar que não poderá se beneficiar desse tratamento diferenciado os agentes de pequeno porte que estejam enquadrados no artigo 3º, que são aqueles que:

a) Realizam tratamento de dados de alto risco, devendo-se observar a ressalva do art. 8º da resolução;

b) Auferem receita bruta anual superior a R$ 4.800.000,00 (artigo 3º, II da Lei Complementar 123/2006), ou, se falando de startups, a receita não pode ser superior a R$ 16.000.000,00/ano;

c) Não devem pertencer a grupo econômico, de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, qual seja, R$ 4.800.000,00;

Nesse sentido, faz-se importante esclarecer o que é o tratamento de dados de alto risco:

“ Art. 4º Para fins deste regulamento, e sem prejuízo do disposto no art. 16, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

I – critérios gerais:

a) tratamento de dados pessoais em larga escala; ou

b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II – critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

E, o esclarecimento trazido pelos §§1º e 2º do mesmo artigo:

“(…) §1º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

§2º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.”

Ainda, caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º e do art. 3º deste regulamento em até quinze dias.”

Devemos observar que a flexibilização trazida pela Resolução, não isenta ao agente de tratamento de pequeno porte o cumprimento dos demais dispositivos contidos em Lei.

Eles ainda devem cumprir com as normas como: bases legais e princípios; finalidade e adequação; entre outras.

Como já dissemos, a Resolução tem como principal intenção tornar o cumprimento da Lei mais acessível ao agente de pequeno porte, trazendo flexibilidade e concessões para que todos possam assumir o compromisso de aderir a lei vigente.

A Autoridade Nacional de Proteção de Dados lançou em outubro de 2021 um Guia orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte[1], o que é uma boa alternativa de embasamento para implantação do Programa de Proteção de Dados e complementa a Resolução CD/ANPD nº 2.

Diferenças de aplicabilidade para pequena empresa e média empresa

Conforme explicitado acima, após a publicação da Resolução CD/ANPD nº 02/2022, as empresas de pequeno e médio porte podem contar com a simplificação no momento de adequar-se à Lei Geral de Proteção de Dados.

Aqui vamos detalhar os processos de adequação, nos termos da Resolução e traçar as diferenças na aplicação para outras empresas não abarcadas pela Resolução.

Começaremos com a Elaboração e manutenção de registros das operações de tratamento de dados pessoais, constante no artigo 37 da LGPD, que poderá ser elaborado de forma simplificada, conforme dispõe o artigo 9º da Resolução.

Primeiro devemos definir o que é o registro de operações.

O registro de operações consiste em boas práticas de governança, onde a empresa deverá especificar, por exemplo, o ciclo de vida dos dados pessoais tratados (coleta, tratamento, compartilhamento, arquivamento e descarte dos dados), onde será desenhado o fluxo dos dados.

Essa catalogação, será realizada por meio de entrevista com os responsáveis pelas áreas, com preenchimento de formulário. A título de exemplo, vamos falar sobre o recebimento de currículos pela área de Recursos Humanos.

Em entrevista ao responsável pelo setor podemos perguntar:

a) Por qual canal são recebidos os currículos dos candidatos? (e-mail do departamento, portaria, recepção, site de recrutamento, indicação de outro empregado, etc). Aqui saberemos como o dado pessoal chega ao departamento.

b) Após o recebimento, o que é feito? São arquivados? São analisados e descartados imediatamente?

c) Se aprovado o currículo, ele é compartilhado internamente com outras áreas?

d) Se não aprovado? Ele é descartado imediatamente ou vai para um arquivo temporário? Se fica em arquivo temporário, por quanto tempo?

e) Quando arquivado, onde esse currículo fica guardado? Os arquivos são físicos ou virtuais? Há chaves nos armários ou senha nos computadores, e restrição de acesso?

f) No momento de descartar o documento, qual o procedimento utilizado?

Essas são algumas das perguntas que podemos fazer no momento de entender o fluxo de dados, o que também chamamos de data mapping.

Lembrando que conforme disposto em Resolução, a ANPD disponibilizará um modelo simplificado de registro, o que ainda não ocorreu, assim é interessante seguir os passos com a maior riqueza de detalhes possível, seguindo os moldes de empresas de maior porte.

Seguindo a lista de flexibilização, temos a comunicação de incidente de segurança para os agentes de pequeno porte, o que ainda está pendente de regularização.

É importante observar que o incidente de segurança ocorre quando há violação à segurança dos dados pessoais tratados, armazenados e compartilhados. Havendo acesso não autorizado, vazamento ou destruição, seja acidental ou ilícita.

Contudo, uma vez que está pendente de regulamentação por parte da ANPD, o formato simplificado a ser seguido pelo agente de pequeno porte, não existe, e o conselho a ser dado é que seja seguido o determinado no artigo 48 da LGPD, comunicando-se a Autoridade Nacional e ao titular de dados, sempre que a ocorrência de incidente resultar em risco relevante.

No momento, o agente de pequeno porte pode contar com formulário[2] disponibilizado pela própria ANPD, devendo preencher as perguntas relacionadas, que são, no total, 17 questões, com informações sobre o ocorrido e envio via peticionamento eletrônico no próprio site da ANPD[3].

Outra simplificação pensada para o agente de tratamento de pequeno porte, está na desnecessidade da indicação de um encarregado de dados.

É de conhecimento geral que a LGPD exige que todo Controlador e Operador de Dados tenha nomeado um Encarregado de Dados (DPO), nos termos do artigo 41 da lei.

Contudo o §3º do mesmo artigo, já trazia a possibilidade de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, e foi isso que a Resolução nº 02/2022 concretizou.

Assim, pela Resolução, os agentes de tratamento de pequeno porte estão desobrigados de nomear o Encarregado de Dados, devendo investir em um canal de comunicação, que pode ser um e-mail, ou um formulário no site, para que o titular de dados possa exercer seus direitos legais.

Os agentes de pequeno porte também estão autorizados a elaborar uma política de segurança da informação de forma simplificada.

A elaboração de Políticas internas está relacionada a Boas Práticas de Governança, conforme artigos 50 e 51 da LGPD, assim, mesmo que o agente de pequeno porte tenha autorização para elaboração de uma Política de Segurança da Informação (PSI) simplificada, deve-se observar alguns temas importantes.

A Política de Segurança da Informação visa estabelecer diretrizes a serem seguidas por toda a empresa no momento do tratamento de dados pessoais, assim, é de suma importância observar os aspectos de confidencialidade, orientando os empregados quanto a integridade e autenticidade dos dados, sempre com foco na segurança dos dados e na melhoria contínua.

O objetivo aqui é proporcionar ao agente de pequeno porte a possibilidade de se adequar a LGPD com custo reduzido, com backups manuais em HD externo, excluindo-se a contratação de arquivos em nuvem com assinaturas e compra de espaço.

Outra vantagem trazida pela Resolução são os prazos em dobro.

Para atendimento das solicitações dos titulares de dados, conforme artigo 19 da LGPD, o prazo seria de 15 (quinze), mas, com a resolução, o agente de tratamento de pequeno porte terá o prazo de 30 (trinta) dias.

As comunicações à ANPD e ao titular, em relação a ocorrência de incidente de segurança, precisa ser realizada em prazo razoável, nos moldes do art. 48 da lei, contudo a recomendação atual fixa um prazo de 2 (dois) dias úteis, contados da data do conhecimento do incidente, sendo o prazo em dobro para os agentes de tratamento de pequeno porte.

Ressalte-se que tal prazo, de 2 (dois) dias, foi estabelecido com parâmetros de comunicação existente no Decreto nº 9936/2019, e também na necessidade de gerenciamento eficaz dos incidentes de segurança, evitando consequências danosas.

Além disso, qualquer outro prazo estabelecido nos normativos próprios da Autoridade Nacional, para apresentação de documentos, informações, relatórios serão contatos em dobro para os agentes de tratamento de pequeno porte.

Conclusão

Dessa forma, resta claro que a Resolução CD/ANPD nº 2, publicada em janeiro/2022 traz diversos benefícios aos agentes de pequeno porte, que vão desde flexibilização das normas até extensão dos prazos para cumprimento da norma.

Referências

Planalto, Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018), endereço eletrônico http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm (acesso em 07/10/2022);

Diário Oficial da União, Resolução CD/ANPD nº 2, de janeiro de 2022, publicado em 28/01/2022, Edição 20, Seção 1, Página 6, endereço eletrônico: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019#wrapper (acesso em 07/10/2022)

Governo Federal, Ministério da Economia. Publicação do dia 17/06/2021, atualizado em 02/09/2022, endereço eletrônico: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd (acesso em 10/10/2022).

[1] https://www.fecomercio-ce.com.br/wp-content/uploads/2022/03/Guia-de-Seguranc%CC%A7a-da-Informac%CC%A7a%CC%83o-para-Agentes-de-Tratamento-de-Pequeno-Porte-ANPD.pdf

[2] https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca

[3] https://www.gov.br/secretariageral/pt-br/peticionamento-eletronico

Anna Carolina de Medeiros Silva é Advogada especializada em Direito de Família & Sucessões, Direito Digital & Compliance, Direito Processual Civil e Proteção de Dados Pessoais (LGPD | GDPR). E-mail: anna@annamedeiros.com.br

Renata Proximo é Advogada e Consultora Empresarial, Especialista em Direito do Trabalho e Privacidade e Proteção de Dados e Data Protection Officer.  E-mail: renataproximo.adv@gmail.com

Pular para o conteúdo