Saiba se sua empresa se enquadra como de pequeno porte para tratamento jurídico diferenciado da LGPD

resolucao_anpd_startups_Noticia Startup

A ANPD (Autoridade Nacional de Proteção de Dados) publicou o instrumento regulatório mais aguardado por empreendedores e pelo ecossistema de inovação: a Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD (Lei Geral de Proteção de Dados) para agentes de tratamento de pequeno porte, incluindo startups.

Flexibilização e dispensa das obrigações

Entre os principais pontos de flexibilização e dispensa das obrigações para agentes de pequeno porte estão:

  1. Simplificação do Registro de Operações de Tratamento (ROPA ou Inventário), de modo que a ANPD fornecerá modelo simplificado;
  2. Procedimento simplificado de comunicação de incidentes de segurança, que contará com regulamentação específica a ser publicada pela ANPD;
  3. Dispensa da obrigatoriedade de nomeação do Encarregado (Data Protection Officer ou DPO), devendo manter apenas canal de comunicação para o exercício dos direitos dos titulares. Ainda assim, caso o agente de pequeno porte opte pela nomeação do DPO, a indicação será considerada boa prática de governança pela ANPD;
  4. Possibilidade de simplificação da Política de Segurança da Informação, contendo apenas os itens essenciais para a proteção de dados pessoais contra incidentes ou violações; e
  5. Prazo em dobro para resposta às requisições dos titulares de dados e realização de comunicações em caso de incidentes de segurança, observada a regulamentação própria a ser publicada sobre o tema pela ANPD.

Importante destacar, no entanto, que “a dispensa ou a flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares”.

Quem pode ser beneficiado com a Resolução da ANPD?

Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, pessoas naturais e entes privados despersonalizados.

A Resolução também abrange as sociedades empresárias, sociedades simples, sociedades limitadas unipessoais e microempreendedores individuais devidamente registrados no órgão competente, segundo os critérios da Lei Complementar nº 123/2006. Em relação às startups, a regulação segue os parâmetros já definidos pela Lei Complementar nº 182/2021 (Marco Legal das Startups).

Quais são os critérios da Lei Complementar 123/2006?

São pequenas empresas as entidades com faturamento anual de até R$ 4,8 milhões e até 99 funcionários. A microempresa poderá ter faturamento anual de até R$ 360 mil e 19 funcionários, enquanto o microempreendedor individual poderá ter faturamento anual máximo de R$ 81 mil e 1 funcionário.

Quais são os parâmetros da Lei Complementar 182/2021?

São startups: (i) as empresas com até 10 anos de inscrição no cadastro nacional de pessoa jurídica (CNPJ); (ii) com faturamento bruto anual máximo de R$ 16 milhões; e (iii) que utilizem modelos de negócios inovadores para geração de produtos ou serviços.

Exceções aos benefícios da Resolução da ANPD

(i) realização de tratamento de alto risco para os titulares, segundo a cumulação dos parâmetros previstos no artigo 4º;

(ii) obtenção de receita bruta superior ao limite previsto na Lei Complementar nº 123/2006 ou na Lei Complementar nº 182/2021; e

(iii) pertencimento a grupo econômico de fato ou de direito com receita global superior à prevista na Lei Complementar nº 123/2006 ou na Lei Complementar nº 182/2021.

A ANPD dá especial atenção para a proteção dos direitos e das liberdades dos titulares como balizadora das flexibilizações e dispensas previstas. Agentes que tratam dados com alto risco aos titulares, contendo combinação de critérios previstos nos incisos I e II do dispositivo, não podem ser beneficiados pela regulamentação. Esses critérios estão divididos em duas classificações: gerais e específicos.

Os gerais são os seguintes:

– tratamento de dados pessoais em larga escala, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como duração, frequência e extensão geográfica do tratamento realizado; ou

– tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizado, entre outras situações, por atividade de tratamento que possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já os específicos são:

– uso de tecnologias emergentes ou inovadoras;

– vigilância ou controle de zonas acessíveis ao público;

– decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito, ou aspectos da personalidade do titular; ou

– utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes ou idosos.

Por isso, recomendamos cuidadosa análise jurídica de enquadramento, pois as combinações de fatores podem gerar situações não triviais, como empresas que tratam dados em larga escala ou que possam afetar direitos fundamentais dos titulares e, cumulativamente, usam tecnologias inovadoras ou tratam dados pessoais sensíveis.

Ainda, o artigo 5º da Resolução prevê a possibilidade de a ANPD solicitar ao agente de pequeno porte a comprovação, em prazo de até 15 dias, do devido enquadramento nas condições necessárias para gozar dos benefícios do regulamento, reforçando a importância de uma análise consistente. 

Métodos Adequados de Solução de Conflitos (MASC)

A Resolução possibilita que agentes de tratamento de pequeno porte, inclusive aqueles que realizam tratamento de alto risco, possam se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados (artigo 8º).

Desenvolvimento das MPEs e das startups

De acordo com a ANPD, “a baixa maturidade e a falta de uma cultura de proteção de dados pessoais pelos agentes de pequeno porte podem dificultar sua adequação aos ditames da LGPD e, eventualmente, podem inviabilizar sua existência”, motivo pelo qual a Resolução é importante para o desenvolvimento no país das micro e pequenas empresas, bem como das startups. A regulamentação cria ambiente mais favorável ao cumprimento da legislação de proteção de dados brasileira, equilibrando a viabilidade operacional e de recursos das pequenas empresas com a efetivação dos direitos e das liberdades dos titulares.

Dessa forma, o instrumento regulatório tem por objetivo trazer proteção aos direitos dos titulares com olhar atento à necessidade de crescimento econômico e expansão do ecossistema de inovação no Brasil. Representa, portanto, importante passo para a criação de um ambiente que combine a necessidade de proteção de dados com os valores da inovação e do desenvolvimento econômico e tecnológico do país.

Para mais informações, incluindo avaliação de enquadramento abordada no report, nossa equipe da Startup.OBA permanece à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp