Por Maria Luiza Matias, advogada com atuação na área cível e empresarial, consultora de Proteção de Dados na @somarlgpd e parceira da Open Contabilidade Digital.
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor no Brasil há pouco mais de 02 (dois) anos, em setembro de 2020. No entanto, muitas empresas ainda não estão preparadas para as novas regras ou mesmo desconhecem a obrigatoriedade de cumprir esta lei e estão correndo riscos de prejuízos financeiros, com multas administrativas e judiciais, e também com prejuízos reputacionais no mercado.
A importância da privacidade e da proteção de dados pessoais não se delimita às grandes empresas, os profissionais liberais, empreendedores e as empresas de pequeno porte também devem buscar a adequação à LGPD para proteção dos dados dos seus funcionários, clientes e colaboradores e parceiros.
SIMPLIFICAÇÃO DA ADEQUAÇÃO À LGPD
Agentes de pequeno porte foram beneficiados com regras mais flexíveis. Essas flexibilizações não significam a não obrigatoriedade de observar a lei, mas sim possibilitam a simplificação do processo de adequação à LGPD, trazendo a dispensa de algumas exigências ou diferenciação de prazos, em virtude do porte da empresa ou mesmo do tipo de negócio.
A LGPD menciona esta atenção especial que deve ser dedicada aos agentes de pequeno porte e elenca como competência da Autoridade Nacional de Proteção de Dados – ANPD a possibilidade de editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, como se verifica em seu art. 55-J, XXVIII.
QUEM DEVE SER BENEFICIADO COM AS FLEXIBILIZAÇÕES?
A ANPD publicou a Resolução CD/ANPD nº dia 2, de 27 de janeiro de 2022, que regulamenta a aplicação da LGPD, para agentes de tratamento de pequeno porte, e em seu art. 2º, I, adotou a seguinte definição para agentes de pequeno porte: “microempresas, empresas de pequeno porte,startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”.
Neste regulamento, o órgão utilizou-se dos conceitos de microempresa ou empresas de pequeno porte, a sociedade empresária, a sociedade simples, o empresário a que se refere o art. 966 da Lei no 10.406, de 10 de janeiro de 2002 (Código Civil), previstos na Lei Complementar nº 123, de 14 de dezembro de 2006, com referência expressa aos arts. 3º e 18-A, §1, da referida lei. E para definir o conceito de startup adotou os critérios estabelecidos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.
Em resumo, são considerados agentes de pequeno porte para a LGPD:
- MICROEMPRESAS (ME)
- EMPRESA DE PEQUENO PORTE (EPP)
- STARTUPS
- PJ (SOCIEDADES, ASSOCIAÇÕES OU FUNDAÇÕES);
- PROFISSIONAIS AUTÔNOMOS E MEI
- CONDOMÍNIOS
No entanto, para se beneficiar das flexibilizações, esses agentes NÃO PODERÃO:
- realizar tratamento de alto risco;
- possuir renda bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) e startups com renda bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior
- pertencer a grupo econômico de fato ou de direito, cuja receita global ultrapasse o mesmo limite das startups ou das empresas que fazem parte do simples nacional.
MAS AFINAL, QUAIS SERIAM ESSAS FLEXIBILIZAÇÕES?
- Simplificação da exigência do art. 37 da LGPD, que trata da manutenção do registro de atividades de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;
- Flexibilização da comunicação dos incidentes de segurança;
- DISPENSA A INDICAÇÃO do encarregado pelo tratamento de dados pessoais, sendo necessário apenas a criação de um CANAL DE COMUNICAÇÃO para atender os TITULARES;
- Política simplificada de segurança da informação;
- Prazos em dobro no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
- Prazo em dobro para o fornecimento de declaração clara e completa sobre o registro de dados pessoais;
- Prazo em dobro para comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
- Prazo em dobro em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
