Flexibilização da LGPD para Micro, EPP, Empreendedor Individual e Startup

Adriana Garibe

A Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução do Conselho Diretor/ANPD 2/2022, que regulamenta o tratamento jurídico diferenciado da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte, incluindo startups.

O regulamento tem como objetivo trazer proteção aos direitos dos titulares, obedecendo à risca a LGPD, mas dando maior flexibilidades aqueles que são fundamentais para a economia e desenvolvimento tecnológico do país. As regras de flexibilização da lei são aplicadas às Microempresas que faturam até R$ 360 mil por ano e Empresas de Pequeno Porte (EPP) que faturam de R$ 360 mil a R$ 4,8 milhões por ano.

Importante ressaltar que a flexibilização da lei abrange também o Microempreendedor Individual que tenha faturamento até R$ 81 mil por ano e que não participe como sócio, administrador ou titular de outra empresa, contrate no máximo um empregado e exerça atividades econômicas. Fazem parte dessa mesma lista as Startups, pessoas jurídicas de direito privado com receita bruta anual igual ou inferior a R$ 4,8 milhões, organizações sem fins lucrativos e pessoas naturais que exerçam atividade econômica com receita bruta também inferior a R$ 4,8 milhões por ano.

Importante ressaltar que a flexibilização das obrigações dispostas no regulamento da ANPD não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da lei, devendo sempre serem observados os princípios norteadores da legislação e as bases legais que autorizam o tratamento de dados pessoais.

Os principais itens de flexibilização são as respostas às solicitações dos titulares podem ser feitas por meio eletrônico, impresso ou qualquer outro meio que seja de fácil acesso e assegure os direitos dos titulares. O registro das atividades de tratamento pode ser feito de forma simplificada, seguindo modelo que será fornecido pela ANPD e dispensa do dever de indicação do DPO (do inglês Data Protection Officer –profissional encarregado pelo tratamento de dados pessoais), apenas mantendo a necessidade de criação de um canal de comunicação entre os titulares.

É importante destacar que o regulamento deixa claro que, mesmo com a dispensa de indicação de DPO, caso haja a indicação, será considerada política de boas práticas e governança pela ANPD. Além disso, estabelece forma simplificada de resposta ao incidente de segurança da informação, a ser regulamentada pela ANPD e a possibilidade de adoção de política simplificada de segurança da informação. O regulamento também estabelece alguns prazos diferenciados para o cumprimento de obrigações por parte dos agentes de tratamento de pequeno porte.

A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, tendo como base as circunstâncias relevantes da situação, como por exemplo, a natureza ou o volume das operações e os riscos para os titulares.

Estão excluídas da aplicação do regulamento as empresas que, mesmo tendo qualquer característica acima, realizem tratamento de alto riscopara os titulares ou que obtenham receita bruta superior s R$ 360 mil por ano e aquelas pertencentes a grupo econômico de fato ou de direito com receita global superior a R$ 360 mil por ano.

Mas como saber se efetivamente a empresa trata dados de alto risco? É necessário ter a combinação de critérios estabelecidos no próprio regulamento. Há dois tipos de critérios, os gerais e os específicos. Os gerais são: a) quando ocorrer tratamento de dados pessoais em larga escala, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como duração, frequência e extensão geográfica do tratamento realizado; b) ou quando ocorrer  tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizado, entre outras situações, por atividade de tratamento que possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Como critérios específicos, o regulamento estabelece o uso de tecnologias emergentes ou inovadoras, a vigilância ou controle de zonas acessíveis ao público, as decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou aspectos da personalidade do titular e por fim, a utilização de dados pessoais sensíveis ou de crianças, adolescentes ou idosos. Portanto, necessária a cuidadosa análise por profissionais capacitados, já que uma análise feita de forma equivocada poderá gerar riscos para a empresa. 

Adriana Garibe é advogada e coordenadora da área de Direito Digital do Lemos Advocacia Para Negócios.


Roncon & Graça Comunicações
Jornalistas: Edécio Roncon / Vera Graça

Deixe um comentário

O seu endereço de e-mail não será publicado.