A Autoridade Nacional de Proteção de Dados (ANPD) editou Resolução CD/ANPD Nº 2 de 27 de janeiro de 2022, para aplicação da LGPD para startups, empresas de pequeno porte e microempresas (agentes de tratamento de pequeno porte).
1. Como a Resolução define agentes de tratamento de pequeno porte?
São constituídos pelas startups, microempresas, empresas de pequeno porte, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, que assumem obrigações de controlador ou operador.
2. Os agentes de tratamento de pequeno porte não precisarão mais seguir a LGPD?
A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
3. Os agentes de tratamento de pequeno porte ainda terão obrigações perante os titulares de dados?
Sim, os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, garantindo um acesso facilitado às informações sobre o tratamento de dados, de forma clara, adequada e ostensiva e em conformidade com os direitos elencados no art. 18 da LGPD.
4. A política de segurança de informação dos agentes de tratamento de pequeno porte poderá ser simplificada?
Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
Podem, no entanto, adotar uma política de segurança simplificada, desde que o documento contemple os requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
5. A contratação de Encarregado (DPO) não será obrigatória?
Agentes de tratamento de pequeno porte não precisam ter um Data Protection Officer (DPO) ou Encarregado para tratamento de dados pessoais, como acontece nas demais empresas , onde estes profissionais têm como atividades aceitar reclamações e prestar esclarecimentos, orientar funcionários e servir de canal de comunicação entre a empresa e a ANPD, entre outras funções.
No caso das startups, pequenas empresas e microempresas, bastará criar um canal de comunicação com o titular de dados. Caso venham a indicar um Encarregado, a medida será considerada uma política de boas práticas de governança.
6. Os agentes de tratamento de pequeno porte terão prazo diferenciado?
Sim, terão prazo dobrado para atender às solicitações dos titulares de dados, para comunicar à ANPD e ao titular qualquer incidente de segurança que coloque em risco os dados pessoais, com exceção no caso de haver comprometimento da integridade física ou moral dos titulares ou à segurança nacional.
Nesses casos, os prazos são os mesmos dos demais agentes de tratamento, conforme a LGPD. No caso de cumprimento do Artigo 19, I da LGPD, para confirmação de existência ou acesso a dados pessoais, o prazo será de 15 dias, contados da data do requerimento do titular.
7. Haverá diferença na comunicação de incidente de segurança que afete agentes de tratamento de pequeno porte?
Sim, a ANPD irá dispor, em regulamentação específica, sobre a flexibilização ou adoção de procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte.
