Em comemoração ao Dia Internacional da Proteção de Dados (28/01), a Autoridade Nacional de Proteção de Dados publicou sua segunda Resolução (Resolução CD/ANPD nº 2), regulamentando a aplicação da Lei Geral de Proteção de Dados Pessoais para agentes de tratamento de pequeno porte.

A regulamentação deste tema é um dos itens presentes na Agenda Regulatória da autoridade para o biênio 2021-2022 e foi muito esperada, considerando ser uma das grandes lacunas deixadas pelo texto original da LGPD.

Quem são considerados os agentes de tratamento de pequeno porte?

Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador, ressalvados aqueles que realizam tratamento de dados de alto risco, aufiram receita bruta ou pertençam a grupo econômico com receita global superior aos limites estabelecidos em lei.

Quais são as flexibilizações trazidas pela Resolução?

1 – Possibilidade de elaboração de registro das operações de tratamento de dados pessoais (conhecido como Data Mapping, ou Mapeamento de Dados) de forma simplificada;

2 – Dispensa de indicação de um encarregado pelo tratamento de dados, ficando reforçado que sua indicação será considerada política de boas práticas e governança para fins do processo sancionador da Autoridade;

3 – Prazos em dobro para: (i) atender às solicitações dos titulares; (ii) comunicar à ANPD e ao titular da ocorrência de incidente de segurança, ressalvados os casos em que houver potencial comprometimento à integridade física ou moral dos titulares; (iii) fornecer a declaração clara e completa, prevista no art. 19, inciso II da Lei; e (iv) apresentar informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento, em relação aos prazos estabelecidos em normativos próprios.

Outros pontos importantes

As flexibilizações e dispensas estabelecidas no regulamento não isentam os agentes de tratamento do cumprimento dos demais dispositivos e requisitos da LGPD, de forma que estes ainda devem se adequar à legislação, incluindo a adoção de medidas administrativas e técnicas de segurança da informação para a proteção dos dados pessoais e, em caso de descumprimento, poderão sofrer as sanções estabelecidas pela legislação.

A mencionada Resolução deixa ainda algumas lacunas, que serão preenchidas por regulamentos específicos da Autoridade, como a flexibilização ou procedimento simplificado para a comunicação de incidentes e o atendimento de solicitações de titulares. O texto completo desta regulamentação pode ser acessado aqui.