A LGPD e os Agentes de pequeno porte
Na última sexta-feira (28), foi publicada a Resolução nº 2/2022 pela Autoridade Nacional de Proteção de Dados (ANPD), regulamentando a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, tais como: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, pessoas naturais e entes privados despersonalizados que realizem o tratamento de dados pessoais.
Inicialmente, vale ressaltar que a Resolução não será aplicada a esses agentes de tratamento quando houver tratamento de dados pessoais de alto risco, sendo considerados como tal aqueles que atendem cumulativamente a pelo menos um critério geral (tratamento em larga escala, possibilidade de impacto significativo de interesses e direitos fundamentais dos titulares) e um critério específico (uso de novas tecnologias, vigilância de espaços abertos ao público, decisões automatizadas e utilização de dados pessoais sensíveis ou de crianças, adolescentes e idosos).
Além disso, estabelece a flexibilização para a elaboração e manutenção de registros das operações de tratamento de dados, comunicações dos Incidentes de Segurança e Política de Segurança da Informação, para os quais serão fornecidos modelos simplificados pela própria ANPD.
A norma publicada desobrigou os agentes de pequeno porte da indicação de um Encarregado de Dados, sendo exigido apenas a disponibilização de um canal de comunicação com o Titular para atendimento de seus direitos estabelecidos pela LGPD. Porém, se indicado será considerado como critério de adoção de política de boas práticas e governança, para fins de aplicação de sanções.
Finalizando suas previsões, a Resolução determinou que alguns prazos estabelecidos pela LGPD e pelas resoluções da ANPD serão concedidos de forma diferenciada, como por exemplo para no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD, em que o prazo aplicado deixará de ser 15 (quinze) dias, e passará a ser o dobro, 30 (trinta) dias.
Apesar das diversas simplificações trazidas pela Resolução, os agentes de tratamento de pequeno porte não estão isentos do cumprimento da LGPD, sendo de extrema importância a adequação de suas atividades à lei, bem como o atendimento de medidas de segurança da informação essenciais ao tratamento de dados pessoais.