LGPD: Como saber se sou um agente de tratamento de pequeno porte?

Assim, conforme o texto normativo, artigo 2º, inciso I, são agentes de pequeno porte:

• Microempresas, aquelas cuja receita bruta anual seja igual ou inferior a R$ 360.000 – art. 3 da Lei Complementar 123/06;

• Empresas de pequeno porte, aquelas cuja receita bruta anual seja superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00 – art. 3 da Lei Complementar 123/06;

• Startups, àquelas organizações que atendam aos critérios do Artigo 4 da Lei Complementar 182/21, tendo no máximo 10 anos de inscrição no CNPJ, limites de R$ 16.000.000,00 de faturamento no ano-calendário anterior (ou fracionado, ver a respectiva lei e seus critérios), estar inscrito no Inova Simples ou possuir em seu contrato social referências à utilização de modelos de negócios inovadores para a geração de produtos ou serviços;

• Pessoas jurídicas de direito privado, inclusive as sem fins lucrativos, categoria esta que incorpora, por exemplo, as associações, as sociedades, as fundações, as organizações religiosas, os partidos políticos e as empresas individuais de responsabilidade limitada;

• Pessoas naturais (com objetivo comercial) e entes privados despersonalizados que realizam tratamento de dados pessoais (por exemplo, os órgãos públicos).

Ainda que você se enquadre no rol elencado acima, ATENÇÃO (!): não necessariamente será alcançado pelo regulamento. A ANPD se resguarda expressamente – no artigo 16 – ao direito de desconsiderar as dispensas e flexibilizações conforme critérios específicos como, por exemplo, a natureza ou o volume das operações, e os riscos para os titulares de dados.

Ficam excluídos da nova norma aqueles que:

• Realizam tratamento de alto risco. Para saber se sua empresa realiza, perceba que deverá atender ao menos a um critério geral e outro específico, cumulativamente. São eles:
  • • Critérios gerais:
      • Tratamento de dados pessoais em larga escala e, portanto, “quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado” (§1º); ou
      • Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares como, por exemplo, indicações algorítmicas em sites de compras que possam induzir comportamentos contrários àqueles interesses primários do visitante do site/sistema/aplicativo.
    • Critérios específicos:
      • Uso de tecnologias emergentes ou inovadoras – Dependendo da situação, Analytics, Big Data, Machine Learning/IA e IoT, por exemplo;
      • Vigilância ou controle de zonas acessíveis ao público;
      • Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
      • Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
• Aufiram receita bruta anual superior a R$ 4.800.000,00, caso seja empresa de pequeno porte; ou,
• Pertençam a grupo econômico cuja receita global anual ultrapasse o valor de R$ 16.000.000,00 – ou de R$ 1.333.334,00, multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses – se for uma startup.

Sua empresa se enquadra às novas regras?  

• • Se sim, saiba que a ANPD já publicou um Guia orientativo de segurança da informação aos agentes de pequeno porte, junto de um check list para facilitar a visualização das sugestões.  
  • Se ainda estiver com dificuldades de classificação ou aplicação das regras, contate nossa equipe consultiva. Será um prazer ajudar!

Precisa de ajuda?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.

Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.