LGPD para pequenas e médias empresas

LGPD

RESOLUÇÃO Nº 2: LGPD PARA PEQUENAS E MÉDIAS EMPRESAS

 

Em 27 de janeiro de 2022, foi publicada a Resolução CD/ANPD nº 2, que regulamenta a LGPD para pequenas e médias empresas.

O objetivo é flexibilizar algumas regras para microempresas, empresas de pequeno porte e startups ou empresas de inovação, bem como de outros estabelecimentos assim entendidos, buscando o equilíbrio entre o porte destas empresas e a garantia de direitos dos titulares dos dados coletados.

O objetivo deste material é atualizar os proprietários destas empresas para estarem em conformidade com os novos regramentos.

O que é a LGPD

 

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) é uma norma recente que regulamenta e cria disposições sobre o tratamento de dados pessoais por pessoas físicas ou por empresas públicas ou privadas, através de qualquer meio (físico ou eletrônico). Inclusive, aplica-se a LGPD para pequenas e médias empresas.

Essa lei se aplica a empresas de todos os segmentos e não somente às empresas de tecnologia. Assim, empresas de todos os setores da economia, que de qualquer maneira realizem o tratamento de dados pessoais (clientes, funcionários, parceiros, etc.), deverão se adequar às disposições da LGPD.

A LGPD entrou em vigor em 18 de setembro de 2020, data em que as empresas já deveriam estar adequadas às novas regras, garantindo o exercício dos direitos dos titulares de dados pessoais e podendo passar por processos de fiscalização por parte das autoridades.

 

 

A QUEM SE APLICA AS NOVAS REGRAS?

 

De acordo com o Regulamento, são considerados agentes de tratamento de pequeno porte:

 

  • microempresas;
  • empresas de pequeno porte;
  • startups;
  • pessoas jurídicas de direito privado;
  • pessoas naturais;
  • e entes privados despersonalizados.

 

NÃO SE APLICA:

 

Há dois grupos que não fazem jus às flexibilizações:

 

  • pessoas naturais com objetivos exclusivamente particulares e não econômicos; e
  • agentes de tratamento de pequeno porte nas hipóteses abaixo:
    • Agentes de tratamento de pequeno porte que:
      • Tenham receita bruta superior a R$ 4.800.000,00 ou, no caso de startups, R$ 16.000.000,00 no ano-calendário anterior ou façam parte de grupo econômico cuja receita global ultrapasse esses valores;
      • Trabalhem com tratamento de dados com ALTO RISCO para os titulares.

 

O QUE É CONSIDERADO TRATAMENTO DE ALTO RISCO?

 

É considerado tratamento de alto risco e, portanto, está excluído do Regulamento, o tratamento de dados pessoais que atenda pelo menos um critério geral + um critério específico.

 

 

Critérios Gerais:

 

  • Tratamento de dados em larga escala
  • Tratamento de dados que podem afetar, de forma significativa, interesses e direitos fundamentais dos titulares

 

Critérios Específicos:

 

  • Utilização de tecnologias em desenvolvimento (emergentes) ou inovadoras
  • Vigilância ou controle de zonas acessíveis ao público (praças, centros comerciais, vias, estações de transporte público, aeroportos, portos, bibliotecas públicas, dentre outros)
  • Com decisões tomadas unicamente com base em tratamento automatizado de dados pessoais
  • Que utilizem dados pessoais sensíveis ou de crianças, adolescentes e idosos

 

 

AFINAL, O QUE MUDA?

 

É importante destacar que algumas obrigações permanecem, como o atendimento às requisições dos titulares, conforme o artigo 9º e 18º da Lei Geral de Proteção de Dados Pessoais:

“Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I – finalidade específica do tratamento;

II – forma e duração do tratamento, observados os segredos comercial e industrial;

III – identificação do controlador;

IV – informações de contato do controlador;

V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI – responsabilidades dos agentes que realizarão o tratamento; e

VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.”

 

Entretanto, agora os agentes de tratamento de pequeno porte contam com a possibilidade de entregar as informações referidas através de qualquer meio que atenda à requisição, seja ele eletrônico, impresso ou de outra maneira, enquanto as demais empresas devem entregar somente eletronicamente ou sob forma impressa.

 

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei;
  • portabilidade dos dados a outro fornecedor de serviço ou produto;
  • eliminação dos dados pessoais tratados com o consentimento do titular;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
  • revogação do consentimento, por procedimento gratuito e facilitado.

 

Os direitos dos titulares não são absolutos. Por exemplo, uma empresa pode manter certos dados pessoais para cumprir com obrigação regulatória.

 

Também ficam obrigados a adotar medidas técnicas e administrativas eficazes e necessárias para proteção dos dados pessoais, baseadas em requisitos mínimos de segurança da informação e considerando os níveis de riscos existentes no caso específico.

 

BENEFÍCIOS

 

Além das obrigações, que, de maneira geral, são as mesmas para qualquer tipo de empresa, com mudança principalmente na forma, facilitando o cumprimento por aquelas de menor porte, a Resolução passa a admitir a possibilidade do registro das operações de tratamento realizadas de forma mais descomplicada, inclusive com modelo para o registro simplificado a ser disponibilizado pela ANPD.

 

Também será mais simples o procedimento de comunicação de acidente de segurança – ponto que ainda deverá ser regulamentado para detalhamento.

 

Agentes de pequeno porte não precisam indicar o encarregado pelo tratamento dos dados, basta a criação e disponibilização de um canal de comunicação com o titular dos dados, com o objetivo de aceitar reclamações e comunicações, prestar esclarecimentos e adotar as providências eventualmente necessárias.

 

Apesar de não ser obrigatória a indicação, será considerada política de boa prática e governança, portanto, caso exista essa possibilidade na sua empresa, pode executá-la, já que diante da aplicação de uma sanção, contará como ponto positivo para sua empresa.

 

Não há obrigatoriedade de uma política elaborada de segurança da informação, pois pode ser simplificada, desde que assegure a proteção contra ataques, acessos não autorizados, perdas e danos similares. Assim, basta que atenda aos requisitos essenciais e necessários, considerando os custos para sua implementação, assim como a estrutura da empresa e a escala e o volume das operações.

 

 

PRAZOS DIFERENCIADOS

 

Um dos maiores benefícios trazidos pela resolução para pequenas e médias empresas foi a contagem em dobro de alguns dos principais prazos previstos pela LGPD. Confira quais são eles:

  • atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
  • comunicação à ANPD e ao titular da ocorrência de incidente de segurança -exceto quando estiver em risco a segurança nacional ou a saúde física ou moral do titular;
  • fornecimento da declaração simplificada;
  • apresentação de informações, documentos e outros itens solicitados pela ANPD.

 

 

RESUMO DAS ALTERAÇÕES:

Abaixo, o resumo das alterações da LGPD para pequenas e médias empresas:

  • Registro de Operações de Tratamento simplificado, com modelo a ser fornecido pela ANPD;
  • Comunicação de incidentes de segurança mais rápida, ágil e descomplicada – a ser regulamentada pela ANPD;
  • Não precisará ser nomeado Encarregado pelo tratamento de dados, bastando um canal de comunicação aberto e eficiente para o titular de dados;
  • Política de Segurança simplificada, com atendimento dos pontos essenciais para garantir a integridade dos dados;
  • Prazo em dobro para atender solicitações dos titulares, realizar comunicação de incidentes de segurança, fornecimento de documentos e outros itens solicitados pela ANPD e para entrega do relatório simplificado.

 

Importante saber:

 

Ainda, alguns outros quesitos que são importantes e previstos pelo regulamento que flexibiliza a LGPD para pequenas e médias empresas:

  • As normas não citadas nesta apresentação seguem inalteradas, portanto não há isenção de cumprimento dos demais dispositivos da LGPD;
  • Há possibilidade da ANPD determinar o cumprimento de obrigações que tenham sido dispensadas ou flexibilizadas pela nova decisão, dependendo do fato concreto, da natureza e do volume das operações e dos riscos envolvidos para os titulares dos dados.

 

 

Oferecemos assessoria jurídica especializada para startups que querem crescer com toda a segurança necessária para acertar em todos os procedimentos legais e ser bem vista no mercado e por investidores.

Esperamos que este material tenha sido útil para tirar algumas dúvidas sobre a aplicação da LGPD para empresas de pequeno porte e startups. Caso queira promover as adequações necessárias na sua empresa, conte conosco!

 

Entre em contato

Tel. 11 3164 3081

contato@bortolozoadv.com.br