Proteção de Dados, LGPD e as novas regras para agentes de pequeno porte
Você muito provavelmente acompanhou na mídia que, no dia 27/01/2022, a ANPD publicou texto normativo que regulamenta a LGPD. Esta norma traz importantíssimas informações relativas aos agentes de tratamento de pequeno porte (Resolução CD/ANPD nº. 22). Diante da novidade, a Macher Tecnologia sumarizou alguns aspectos para ajudar você a compreender e implementar a Lei ao seu negócio.
Este texto é relevante para você, se:
- É um “agente de tratamento de pequeno porte”, uma “microempresa”, uma “empresa de pequeno porte” ou uma “startup”, esse texto é para você!
- Não é um desses agentes citados acima, mas contrata serviços de empresas com esse perfil (seus fornecedores), esse texto é para você!
Agora, se você não é um desses agentes, não possui tais fornecedores, mas trabalha com clientes com respectivo perfil, esse texto TAMBÉM é para você!
Vamos lá.
Muito se discutiu sobre o rigor da Lei Geral de Proteção de Dados (LGPD), bem como sobre as dificuldades enfrentadas por aqueles agentes de tratamento com menos recursos, menor acesso às novas tecnologias e eventual exposição de titulares de dados a riscos que – segundo a opinião de alguns especialistas – poderiam ser classificados como de pequeno impacto. Essas considerações foram analisadas pela ANPD que, pelo novo regulamento, dispensou ou flexibilizou algumas das regras da legislação geral para os atores de pequeno porte. Ante o exposto, a seguir, destacamos que tais agentesde pequeno porte:
- Em atenção aos direitos dos titulares de dados pessoais previstos na LGPD, as empresas deverão disponibilizar respectivas informações e atender às suas solicitações por meio eletrônico, impresso ou qualquer outro que possibilite o acesso e o exercício de direitos de modo facilitado;
- Poderão se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou naturais para responder a eventuais reclamações administras ou judiciais;
- Não serão obrigados a indicar um encarregado pelo tratamento de dados pessoais (o famoso “DPO”), porém, se assim proceder, deverão disponibilizar um canal de comunicação com os titulares de dados.
- Por outro lado, frisamos: caso os agentes de pequeno porte optem por nomear um DPO, isso será considerado como parte das “boas práticas e governança” – o que, atenção (!), poderá impactar positivamente nas hipóteses de eventual sanção administrativa ou responsabilização cível.
- Você sabia que pode ter a consultoria de um DPO-as-a-Service, part-time, por um valor dentro da sua realidade? Pergunte-nos como!
- Respeitarão prazos diferenciados:
- Será concedido prazo em dobro (a) no atendimento das solicitações dos titulares de dados pessoais, e (b) na comunicação com a ANPD e ao titular em face de incidente de segurança relevante (salvo exceção legal), no fornecimento de “informação clara e completa”; e
- O prazo de até quinze dias, em declaração simplificada, para atendimento à requisição de confirmação de existência ou acesso aos dados pessoais, por respectivo titular;
- A elaboração e a manutenção do registro das atividades de tratamento de dados poderão ser realizadas de forma simplificada, por modelo será disponibilizado pela ANPD;
- A política de segurança da informação também poderá ser estruturada de forma simplificada, desde que contemple requisitos mínimos e necessários para o tratamento seguro dos dados pessoais.
Apesar do cenário acima, atente-se: a ANPD, pelo próprio texto normativo, se resguarda ao direito de desconsiderar as dispensas e flexibilizações quando perante circunstâncias relevantes como a natureza ou o volume das operações, e os riscos para os titulares de dados. Além disso, ainda que se trate de agente de pequeno porte, ficam expressamente excluídos do alcance da resolução aqueles que:
-
- Realizam tratamento de alto risco;
- Aufiram receita bruta superior a R$ 4.800.000,00, caso seja empresa de pequeno porte; ou
- Pertençam a grupo econômico cuja receita global ultrapasse o valor de R$ 16.000.000,00 – ou de R$ 1.333.334,00, multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses (para os casos de startup).
Por fim, cabe destacar que, quando solicitado pela ANPD, caberá ao agente de tratamento comprovar que se enquadra no perfil de pequeno porte, respeitando-se o prazo de 15 dias.
E agora, ficou mais claro? Para maiores esclarecimento, permanecemos à disposição.
Veja também: CIO: Apenas 4% das Pequenas e Médias Empresas estão preparadas para a LGPD
Precisa de ajuda?
Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!
Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.
Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamento EXIN PDPE
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD