A Lei 13. 709/2018 – Lei Geral de Proteção de Dados –, representou um grande marco regulatório sobre tratamento de dados pessoais no Brasil. A proteção de dados, em si, envolve conceitos que remetem a atividades de segurança da informação, à governança de dados e à gestão de riscos.
A Lei se aplica a todos os agentes de tratamento, sejam grandes empresas ou empresas de pequeno porte, pessoas físicas ou até mesmo entes despersonalizados, que realizem tratamento de dados pessoais. Todavia, é evidente que micro e pequenas empresas têm uma realidade bastante diferente, de forma que a própria Lei estabelece, em seu art, 55-J, XVIII que compete à Autoridade Nacional de Proteção de Dados – ANPD, “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam se adequar a esta Lei”.
Nota Fiscal Fácil: Produtores rurais já podem emitir documento pelo celular
Nesse sentido, a ANPD aprovou a Resolução 2, de 27 de Janeiro de 2022, para melhor elucidar quem pode ser considerado agente de tratamento de pequeno porte, orientando e estabelecendo procedimentos simplificados para tais agentes.
Assim, conforme a resolução, podem ser considerados agentes de tratamento de pequeno porte: (i) microempresas; (ii) empresas de pequeno porte; (iii) startups; (iv) pessoas naturais; e, (v) entes despersonalizados, que realizem e tratamento de dados pessoais e assumam obrigações típicas de controlador e operador.
Contudo, não podem se beneficiar do tratamento jurídico diferenciado empresas que realizem tratamentos de alto risco para os titulares ou aufiram renda bruta superior ao limite estabelecido no art. 3º, II da Lei Complementar 123, qual seja R$ 4.8 milhões/ano.
Será considerado de alto risco o tratamento de dados pessoais que se deem em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares; utilizem tecnologias emergentes ou inovadoras; seja utilizado para controle de zonas acessíveis ao público; utilizado para tomada de decisão unicamente baseada em tratamento automatizado; referentes a dados pessoais sensíveis ou de crianças, adolescentes e idosos.
Para os pequenos agentes de tratamento de dados, são estabelecidos alguns tratamentos diferenciados, o que não quer dizer que estes estão isentos do cumprimento das demais determinações da LGPD.
É assegurado, ao agente de tratamento de pequeno porte, disponibilizar as informações sobre o tratamento e atender às requisições dos titulares por meio eletrônico ou impresso. Ainda, é facultado aos agentes de pequeno porte organizarem-se por meio de entidades de representação da atividade empresarial, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Além disso, os registros das operações de tratamento podem ser simplificados e não são obrigados a indicarem um encarregado de proteção de dados (DPO), conforme exigido no art. 41 da LGPD, apesar de ser necessário disponibilizar um canal por meio do qual os titulares possam exercer seus direitos. Por fim, contam com prazo em dobro para responder às solicitações dos titulares e realizar comunicações à ANPD.
Frise-se que, independentemente do tamanho da empresa ou da quantidade de dados tratados, é sempre importante manter uma série de medidas de segurança e boas práticas, garantindo, assim, que os direitos dos titulares de dados sejam sempre respeitados e mitigando qualquer tipo de penalidade que possa ser imposta.
Para auxiliar esses agentes, a ANPD publicou, ainda, um Guia de Boas Práticas sobre segurança da informação, apresentando medidas administrativas que envolvem a política de segurança da informação relacionada a dados pessoais e a segurança em recursos humanos; medidas técnicas de controle de acesso aos dados; segurança no armazenamento de dados; gerenciamento de vulnerabilidades; e segurança das comunicações, com o fim de proteger os dados pessoais sob a guarda dos agentes de pequeno porte, tendo em vista suas eventuais limitações.
