A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) – a LGPD – é uma norma geral, aplicada a toda e qualquer empresa que trate dados pessoais, independentemente do porte ou do segmento de atuação.
Nesse sentido, mesmo pequenas empresas, sejam elas Microempresas (ME), Empresas de Pequeno Porte (EPP) e até mesmo Microempresários Individuais (MEI), estão sujeitas às regras e princípios previstos na LGPD.
Vale lembrar que essa legislação, de forma proposital, não traz um formato único ou preestabelecido para que a empresa cumpra a lei, mas sim, princípios e pilares mínimos, inclusive de governança, assentados na premissa (a nosso ver, correta) de que as empresas possuem diferentes características, realidades e, por conseguinte, diferentes níveis de risco quando se refere ao tratamento de dados pessoais.
Com esse entendimento, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), a partir de um amplo processo de participação da sociedade – que envolveu tomada de subsídios, consulta pública e audiência pública -, preparou e publicou uma Resolução (Resolução CD/ ANPD Nº 02) que visa facilitar o entendimento e a adequação dos chamados “agentes de tratamento de pequeno porte” à LGPD.
Entende-se por agentes de tratamento de pequeno porte os seguintes entes: as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador de dados pessoais.
Destacamos que não estão amparados pela referida Resolução, nos termos do Artigo 3º, os agentes de tratamento de pequeno porte que:
“I – realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;
II – aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
III – pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.”
Feita essa ressalva, a Resolução traz uma série de flexibilizações e regras específicas aos agentes de tratamento de pequeno porte, cujo conhecimento é fundamental para que a empresa que se enquadra nessa categoria possa pensar, estruturar e implementar processos e um programa de proteção de dados que seja adequada ao seu contexto (e que não extrapole o nível de obrigações previstos pela própria ANPD por meio dessa Resolução).
As principais novidades e flexibilizações trazidas pela Resolução para os agentes de tratamento de pequeno porte são:
- O cumprimento do princípio da transparência é facilitado na medida em que o artigo 7º da Resolução deixa claro que o agente pode fornecer aos titulares informações sobre os tratamentos que realiza por meio digital, físico ou qualquer outro meio hábil que assegure os direitos do titular e acesso a informações, nos termos previstos na LGPD;
- A obrigação de registro das operações de tratamento pode ser feita de forma simplificada (ou seja, não é necessário fazer um extenso e completo mapa ou inventário de dados), sendo que a própria ANPD disponibilizará um modelo desse relatório simplificado;
- Sujeita a regulamentação e orientação da ANPD, haverá também um fluxo facilitado para comunicação de incidentes de segurança;
- Não há obrigação de indicação de encarregado de dados pessoais, muito embora a sua existência possa ser considerada como boa prática de governança;
- Quando não houver indicação de encarregado, o agente deve disponibilizar um canal específico de comunicação com o titular;
- O agente de tratamento de dados deve adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando os riscos existentes e o contexto do agente, tomando por base, inclusive, o guia específico de segurança da informação destinado a agentes de tratamento de pequeno porte publicado pela ANPD (https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf);
- Via de regra, os prazos para cumprimento de algumas obrigações previstos na LGPD serão contados em dobro para agentes de tratamento de pequeno porte (por exemplo: prazo para atendimento de direitos de titulares; prazo para comunicação de incidente, etc.), havendo, ainda, regulamentação pendente a respeito; e
- Por fim, a Resolução deixa claro que a dispensa ou flexibilização das obrigações não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Nossa equipe tem vasta experiência na implementação de programas de governança de proteção de dados em pequenas empresas e entidades do terceiro setor e estamos à disposição para entender suas necessidades e desenhar uma solução customizada e adequada ao seu contexto.