ANPD – Resolução n. 2, 27/01/22
Regulamento de aplicação da Lei 13.709/2018, para agentes de tratamento de pequeno porte
A ANPD aprovou o tão esperado Regulamento de aplicação da LGPD para agentes de pequeno porte.
Importante esclarecer que a Resolução não exime os agentes de pequeno porte a cumprirem a Lei, muito pelo contrário, em seu artigo 6º esclarece que: “A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares”.
Principais pontos da Resolução:
- Beneficiados: microempresas, empresas de pequeno porte (sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei n. 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei n. 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações de controlador ou de operador.
- A obrigação de elaboração e manutenção de registro de operações de tratamento de dados pessoais poderá ser de forma simplificada. Neste caso, a ANPD fornecerá um modelo ao qual poderá ser usado;
- É facultado aos agentes de tratamento de pequeno porte, organizarem-se por meio de entidades de representação da atividade empresarial, para fins de negociação, mediação e conciliação de pedidos apresentados pelos titulares de dados;
- É possível a dispensa da indicação de um Encarregado/DPO, porém sua indicação, no caso de infração, será considerada política de boas práticas e governança;
- Apesar da dispensa do Encarregado/DPO, o agente deve disponibilizar um canal de comunicação com o titular de dados;
- O agente de pequeno porte poderá ter uma política simplificada de segurança da informação, desde que contemple os requisitos essenciais para o tratamento de dados pessoais, tratando de acessos não autorizados, destruição, perda de dados, alteração, etc.;
- Os agentes terão prazo em dobro para atendimento das solicitações dos titulares, comunicação à ANPD e ao titular, na hipótese de incidente de segurança, bem como no fornecimento de declaração clara e completa.
Não poderão se beneficiar os agentes de tratamento que:
1) Realizem tratamento de alto risco para os titulares (larga escala, afetem interesses e direitos fundamentais);
2) Aufiram receita bruta superior prevista na Lei 123/06, art. 3°, II; ou startups, conforme a Lei 182/21, art. 4º, parágrafo 1º, I;
- Pequenas Empresas: aquela que, em cada ano-calendário, aufira receita bruta superior a R$360.000,00 e igual ou inferior a R$ 4.800.000,00.
- Microempresa: aquela que, em cada ano-calendário, aufira receita bruta igual ou inferior a R$ 360.000,00, enquanto o microempreendedor individual poderá ter faturamento anual máximo de R$81.000,00.
- Startups: é o empresário individual, a empresa individual de responsabilidade limitada, as sociedades empresárias, as sociedades cooperativas e as sociedades simples com receita bruta de até R$ 16.000.000,00 no ano-calendário anterior, ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses; que tenham até 10 anos de inscrição no cadastro nacional de pessoa jurídica (CNPJ); e que atendam a um dos requisitos listados no art. 4º, § 1º, inciso III, da Lei Complementar nº 182/2021.
3) Pertençam a grupo econômico com receita que ultrapasse ao mencionado no item 2.
Ainda assim, a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas pelo regulamento.
Leia o Regulamento na íntegra aqui.