Proteção de Dados para agentes de pequeno porte: ANPD aprova resolução sobre a aplicação da LGPD.

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), no exercício de suas competências normativas, fiscalizatórias e sancionatórias, aprovou, recentemente, a Resolução nº 2/2022, que visa regular a aplicabilidade das obrigações estabelecidas pela Lei Geral de Proteção de Dados (LGPD) às atividades dos agentes de tratamento considerados de pequeno porte.

O novo regulamento traz flexibilizações e dispensas para os agentes que são considerados como de “pequeno porte”, tais como: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Microempresas e empresas de pequeno porte são definidas como sociedades empresárias, sociedades simples, sociedades limitadas unipessoais, e os empresários que exercem profissionalmente atividade econômica organizada para a produção ou a circulação de bens ou de serviços, incluído o microempreendedor individual.

As startups, por sua vez, foram inseridas como sendo organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que “atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021”.

A norma também estabeleceu que as zonas acessíveis ao público - espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros - se inserem. igualmente, nas obrigações estabelecidas pela LGPD.

Na definição do alto risco do tratamento de dados pessoais, a resolução prevê que o atendimento cumulativo a pelo menos um critério geral e um critério específico, como (i) tratamento de dados pessoais em larga escala; ou (ii) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares; bem como, (iii) uso de tecnologias emergentes ou inovadoras; (iv) vigilância ou controle de zonas acessíveis ao público; (v) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou, ainda, (vi) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Os agentes de pequeno porte deverão tratar os dados pessoais em larga escala, quando esses abrangerem número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. Deverão, igualmente, zelar pelos dados pessoais que possam afetar significativamente interesses e direitos fundamentais, caracterizando-se, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento, deverão ser adotadas pelos agentes de tratamento de pequeno porte. Contudo, políticas simplificadas de segurança da informação, que contemplem requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, podem ser adotadas pelos agentes de tratamento de pequeno porte, a qual será considerada pela ANPD para os fins dispostos na Lei Geral de Proteção de Dados.

Por fim, a resolução estabelece, em seu artigo 14 e seguintes, prazos diferenciados (em dobro) aos agentes de tratamento de pequeno porte, no (i) atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais; (ii) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação; (iii) no fornecimento de declaração clara e completa, prevista na LGPD; e (iv) em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.