A Autoridade Nacional de Proteção de Dados, visando criar procedimentos simplificados e diferenciados para microempresas, empresas de pequeno porte e startups, publicou regulamento flexibilizando a LGPD para agentes de tratamento de pequeno porte.
Se aplica a sociedades empresárias, sociedades simples, sociedades limitadas unipessoais, ao empresário, microempreendedor individual e às startups, desde que devidamente registrados e sem exceder a receita máxima prevista na legislação respectiva, observadas as exceções estabelecidas no regulamento.
Os agentes de tratamento de pequeno porte poderão optar por manter registro simplificado das operações de tratamento de dados pessoais, conforme modelo a ser fornecido pela ANPD. A ANPD também irá dispor sobre procedimento simplificado de comunicação de incidentes de segurança para estes agentes.
Com este regulamento, os agentes de tratamento de pequeno porte não estão obrigados a indicar o encarregado pelo tratamento de dados pessoais, mas devem disponibilizar um canal de comunicação com o titular de dados. Vale frisar, contudo, que indicar um encarregado é considerada política de boas práticas, o que é critério analisado em procedimentos de aplicação de sanção administrativa.
Estabelecendo um tratamento diferenciado aos agentes de tratamento de pequeno porte, foram duplicados os prazos para atendimento das solicitações dos titulares, para apresentação de informações e documentos à ANPD e para comunicação à ANPD e ao titular da ocorrência de incidentes de segurança (exceto se houver potencial comprometimento à integridade dos titulares ou à segurança nacional). Ainda, para fornecer declaração simplificada do tratamento de dados, os agentes de tratamento de pequeno porte dispõem de 15 dias ao invés da obrigação de responder imediatamente, como previsto na regra geral da LGPD.
O regulamento prevê ainda que os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas necessárias para proteção dos dados pessoais, com base em requisitos mínimos de segurança da informação, podendo estabelecer política simplificada de segurança da informação com o objetivo de proteger os dados de acessos não autorizados e de qualquer forma de tratamento inadequado ou ilícito.
Contudo, estão excluídos do conceito de agentes de tratamento de pequeno porte aqueles agentes que realizem tratamento de alto risco para os titulares. É considerado tratamento de alto risco aquele que feito em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares E que, concomitantemente, seja realizado com uso de tecnologias inovadoras; envolvendo vigilância/controle de zonas acessíveis ao público (praças públicas, centros comerciais, vias públicas, aeroportos, etc); com o tratamento automatizado de dados pessoais; ou envolvendo dados sensíveis ou de crianças, adolescentes ou idosos.
Por fim, destaca-se que a ANPD, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares, poderá exigir do agente de tratamento de pequeno porte o cumprimento da obrigação conforme previsto na LGPD, sem considerar os pontos de flexibilização deste regulamento.
Sua empresa já está adequada à LGPD? Entre em contato e vamos verificar a melhor forma de deixa-la em conformidade, com projetos e condições especiais para agentes de tratamento de pequeno porte.