Publicada em 28.01.2022, Dia Internacional da Proteção de Dados, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
A resolução buscou flexibilizar a aplicação da LGPD sem deixar de garantir o direito dos titulares de dados.
E o que muda na adequação à LGPD para as empresas classificadas como de pequeno porte com a publicação dessa resolução?
A Resolução CD/ANPD nº 2/2022 flexibilizou algumas exigências da LGPD para as empresas de pequeno porte, como, por exemplo: (i) estabeleceu a aplicação de prazos em dobros para o cumprimento de diversas obrigações previstas na lei; (ii) dispensou a obrigatoriedade de indicação de encarregado pelo tratamento de dados pessoais; (iii) instituiu a possibilidade de cumprimento da elaboração e manutenção de registro das operações de tratamentos de dados pessoais de forma simplificada; (iv) possibilitou a utilização de uma política simplificada de segurança da informação; e (v) ainda previu que a ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança.
Além dessas flexibilizações, a Resolução CD/ANPD nº 2/2022 trouxe definições importantes relativas aos agentes de tratamento de pequeno porte.
Nos termos da Resolução CD/ANPD nº 2/2022, enquadram-se como agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Contudo, nem todos os agentes de tratamento de pequeno porte poderão gozar dos benefícios trazidos pela Resolução CD/ANPD nº 2/2022.
Ficam fora da possibilidade de beneficiar-se do tratamento jurídico diferenciado previsto na resolução, os agentes de tratamento de pequeno porte que: (i) realizem tratamento de alto risco; e (ii) aufiram, individualmente ou dentro de grupo econômico do qual estejam inseridos, receita bruta superior a R$ 4,8 milhões/ano ou R$ 16 milhões/ano, no caso de startups.
Muito embora os critérios de avaliação acerca da existência de tratamento de dados pessoais de alto risco tenham sido trazidos pela Resolução CD/ANPD nº 2/2022, que utilizou a metodologia de cumulação de critérios gerais e específicos para classificação de tratamento de dados pessoais de alto risco, já prevendo espaço para argumentações futuras, a própria resolução estabeleceu a possibilidade da ANPD disponibilizar guias e orientações para avaliações de tratamento de alto risco.
Importante ressaltar que toda essa flexibilização trazida pela Resolução CD/ANPD nº 2/2022 não reduz a responsabilidade do agente de tratamento de pequeno porte, nem tampouco retira qualquer garantia ou direito dos titulares de dados.
Não podemos deixar de lembrar que as companhias que já realizaram seus processos de adequação à LGPD passaram a exigir de seus fornecedores a adoção de boas práticas e o desenvolvimento de políticas voltadas à garantia da proteção dos dados pessoais como condição para formação de parcerias comerciais.
Dessa forma a adequação à LGPD deixa de ser apenas uma exigência legal, mas assume um papel condicionante para formação de bons negócios, e, nesse sentido, a Resolução CD/ANPD nº 2/2022 veio para ajudar os agentes de tratamento de pequeno porte tornando mais simplificado e acessível a adequação para esse grupo.
Fato é que toda empresa, independentemente do seu tamanho, precisa se adequar à LGPD, e, aquelas que estão voltadas para uma adequada gestão de riscos terão um crescimento mais sustentável, tornando-se, consequentemente, mais seguras e competitivas.
Nossa equipe do setor de Proteção de Dados e Privacidade está à disposição para mais informações.
Acesse a Resolução em: https://www.in.gov.br/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
Texto escrito pela Dra. Vivian Azevedo Área Corporativa – Proteção de Dados e Privacidade