No dia 27 de janeiro deste ano, a Autoridade Nacional de Proteção de Dados Pessoais ("ANPD") publicou, por meio da Resolução CD/ANPD 2/2022, o Regulamento de Aplicação da Lei Geral de Proteção de Dados Pessoais ("LGPD") para Agentes de Tratamento de Pequeno Porte. O Regulamento, que entrou em vigor na data de sua publicação, visa flexibilizar e, em alguns casos, até mesmo dispensar o cumprimento de determinadas obrigações previstas na LGPD por parte de certos agentes de tratamento.
A quem o Regulamento se aplica?
O Regulamento se aplica aos Agentes de Tratamento de Pequeno Porte ("ATPP"), isto é: (i) microempresas e empresas de pequeno porte, incluindo o microempreendedor individual (conforme Lei Complementar 123/2006); (ii) startups (conforme da Lei Complementar n° 182/2021); (iii) pessoas jurídicas de direito privado, inclusive sem fins lucrativos; (iv) pessoas naturais; e (v) entes privados despersonalizados. Desta forma, caso um sujeito, que se enquadre em uma das categorias elencadas acima, realize atividades de tratamentos pessoais e assuma obrigações típicas de um operador ou controlador e, além disso, não se enquadre em nenhuma das situações de exclusão de aplicação do Regulamento, ele poderá se beneficiar das flexibilizações feitas pela ANPD.
Todavia, caso seja solicitado pela ANPD, o ATPP deverá, no prazo de 15 dias a contar da data da solicitação, comprovar que se enquadra no âmbito da aplicação do Regulamento.
A quem o Regulamento NÃO se aplica?
Ainda que a atividade seja desempenhada por um ATPP, este não poderá se valer das disposições do Regulamento, caso:
Tenha receita bruta superior à estabelecida no Regulamento: os limites estabelecidos são de: (i) R$ 4,8 milhões de receita bruta anual para o agente ou o grupo econômico do qual este faça parte; ou (ii) no caso de startup, de R$ 16 milhões de receita bruta anual para o agente ou o grupo econômico do qual este faça parte.
Realize tratamento de dados pessoais de alto risco: para que uma atividade de tratamento seja caracterizada como sendo de alto risco, esta deverá atender cumulativamente a pelo menos um critério geral e um critério específico estabelecido pelo Regulamento. É considerada de alto risco a atividade de tratamento de dados pessoais que:
Critérios gerais: (i) seja realizada em larga escala, isto é, abrangendo um número significativo de titulares, apresentando considerável volume de dados envolvidos, extensa duração etc.; ou (ii) possa afetar significativamente interesses e direitos fundamentais de titulares de dados pessoais, impedindo o exercício de direitos, a utilização de serviços ou causando danos morais ou materiais.
Critérios específicos: envolva (i) tecnologias emergentes ou inovadoras; (ii) vigilância ou controle de zonas acessíveis ao público; (iii) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; ou (iv) utilização de dados pessoais sensíveis ou de crianças, adolescentes e idosos.
Quais obrigações foram flexibilizadas ou dispensadas?
O Regulamento prevê que o ATPP tem as seguintes disposições da LGPD flexibilizadas ou dispensadas:
Elaboração e manutenção de registros de operações de tratamento: poderá ser realizada de forma simplificada;
Comunicação de incidentes de segurança envolvendo dados pessoais: a ANPD disporá sobre sua flexibilização ou procedimento simplificado em regulamentação específica;
Adoção de medidas administrativas e técnicas de segurança da informação: deverão ser adotadas conforme a realidade do agente de tratamento e levando em consideração os requisitos mínimos necessários para garantir a privacidade dos titulares de dados;
Estabelecimento de Política de segurança da informação: poderá ser estabelecida uma política simplificada, desde que esta contemple os requisitos essenciais e necessários para proteger os dados pessoais de eventual incidente de segurança;
Indicação de Encarregado: não se trata mais de uma obrigação, mas sim de uma faculdade do agente de tratamento que, quando exercida, será considerada uma boa prática pela ANPD. Vale ressaltar que, caso não seja indicado um encarregado, o agente de tratamento deverá disponibilizar um canal de comunicação pelo qual os titulares de dados possam exercer seus direitos; e
Prazos legais: (i) será de 15 dias no caso de fornecimento de declaração simplificada sobre o tratamento de dados pessoais; e (ii) será o dobro do estabelecido para os demais agentes de tratamento nos casos de (a) atendimento a solicitações de titulares referentes ao tratamento de seus dados pessoais; (b) comunicação de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, salvo quando houver potencial comprometimento à integridade física ou moral dos titulares e à segurança nacional; (c) fornecimento de declaração clara e completa; e (d) fornecimento de informações, documentos, relatórios e registros solicitados pela ANPD. Os prazos não dispostos no Regulamento deverão ser determinados em regulamentação específica pela ANPD.
Considerando as circunstâncias de cada caso concreto, a ANPD poderá determinar que um ATPP cumpra as obrigações inicialmente flexibilizadas ou dispensadas pelo Regulamento.
Conclusão
A publicação do Regulamento foi um importante passo da ANPD rumo à normatização do tema no país, tendo em vista que, em determinados aspectos, este tema era considerado "zona cinzenta" por alguns agentes de tratamento, que se viam impossibilitados de cumprir plenamente o previsto em lei. Ainda assim, não podemos perder de vista o fato de que o tema ainda carece de alguns esclarecimentos adicionais por parte da ANPD.
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes