No dia 28 de janeiro de 2022, em que fora comemorado o Dia
Internacional da Proteção de Dados, a Resolução CD/ANPD nº 2 foi publicada como
regulamento da Lei nº 13.709/2018 (LGPD) para agentes de tratamento de pequeno
porte, previstos no art. 5º, VII, desta lei.
Significa que a LGPD terá aplicação diferenciada, mais simplificada
para os operadores de dados definidos como de pequeno porte, tema bastante
aguardado pelos empreendedores. A resolução exclui deste tratamento
diferenciado as instituições que realizam tratamento de alto risco, assim como
aquelas que aufiram receita bruta anual superior a R$ 360 mil para as
microempresas e R$ 4,8 milhões para empresas de pequeno porte (previstas na LC
nº 123/2006), ou superior a R$ 16 milhões no caso das startups (LC nº 182/2021), ou ainda, que
pertençam a grupo econômico de fato ou de direito, cuja receita global
ultrapasse os limites mencionados, no último exercício fiscal.
Este alto risco é definido pelo ato normativo. Tratam-se as
situações em que:
- Ocorra tratamento de dados pessoais em larga escala;
- Possam ferir direitos fundamentais;
- Uso de tecnologias emergentes e pouco validadas;
- Vigilância ou controle de zonas acessíveis ao público;
- Decisões tomadas unicamente com base em algoritmos;
- Tratamento de dados sensíveis ou dados de crianças e adolescentes.
A Resolução nº 2 da ANPD também determinou que os agentes de
tratamento de pequeno porte poderão atender às requisições dos titulares por
meio eletrônico, impresso, ou qualquer outro meio que assegure os direitos
previstos na LGPD e o acesso facilitado às informações. Além disso, terão a
faculdade de se organizarem por meio de entidades de representação da atividade
empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação,
mediação e conciliação de reclamações apresentadas por titulares de dados. Podem
ser exemplificados os Sindicatos Patronais e as Câmaras de Dirigentes Lojistas
(CDL).
Em relação ao encarregado, também conhecido pela sigla DPO
(Data Protection Officer), previsto no art. 5º, VIII, da LGPD, estes agentes estão
dispensados de indicar este profissional, embora ainda precisem disponibilizar
um canal de comunicação com o titular. No caso de um encarregado de dados ser
indicado, isso será considerado uma boa prática de governança. Os operadores de
dados de pequeno porte devem adotar medidas administrativas técnicas essenciais
e necessárias, com base nos requisitos mínimos de segurança.
A resolução atribui a estes menores operadores de dados,
prazos em dobro para:
a) atender solicitações de titulares referentes ao
tratamento de seus dados pessoais;
b) comunicação à ANPD e ao titular da ocorrência de incidente
de segurança que possa acarretar risco ou dano relevante aos titulares;
c) fornecimento de declaração clara e objetiva, prevista no
art. 19, II, da LGPD.
Percebe-se que se trata de uma norma bastante interessante e delicada, por reconhecer as especificidades dos agentes de pequeno porte quando tratam de dados pessoais, mas ao mesmo tempo não fragiliza o direito dos titulares, deixando notório um equilíbrio entre os dois polos na relação de tratamento de dados.
0 comentários:
Postar um comentário