A Agência Nacional de Proteção de Dados (ANPD) publicou, no último dia 28, a regulamentação para a aplicação da LGPD (Lei nº 13.709/2018) aos agentes de tratamento de pequeno porte. Segundo a norma, as regras são destinadas às “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais”.
As novas regras foram anunciadas na Resolução nº 02/2022 da ANPD. A norma contemplou o tratamento de alto risco, caracterizando essa modalidade como aquela que atende cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir:
- critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
- critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Obrigações do agente de tratamento de pequeno porte
O agente de tratamento de pequeno porte deverá disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares por meio eletrônico; impresso; ou qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
O controlador e o operador devem manter o registro das operações de tratamento de dados que realizarem. Para tanto, a ANPD fornecerá um modelo para o a anotação simplificada.
Simplicidade de procedimentos
A agência Nacional de Proteção de Dados regulamentará a flexibilização ou procedimento facilitado de comunicação de incidente de segurança para uso do agente de pequeno porte.
Além desta previsão, a resolução da ANPD dispensa as empresas de indicarem o encarregado pelo tratamento de dados. No entanto, não havendo esta indicação, o agente de pequeno porte é obrigado a disponibilizar um canal de comunicação com o titular dos dados. Ao contrário, se houver a nomeação, esta providência será considerada polítia de boas práticas e governança da empresa.
Segurança e boas práticas
A norma autoriza, ainda, os agentes de pequeno porte a estabelecerem política simplificada de segurança da informação, contemplando a proteção de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Este método simplificado de segurança da informação deve levar em consideração os custos de implementação, a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
Prazos diferenciados
Os agentes de tratamento de dados de pequeno porte podem contar com prazo em dobro para efetuarem atendimento das solicitações dos titulares. A lei autoriza prazo duplo também para comunicarem a ANPD e ao interessado da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
Quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, a comunicação deve atender aos prazos conferidos aos demais agentes de tratamento.
Mesmo conferindo maior flexibilidade nas obrigações do agente de tratamento de pequeno porte, a norma autoriza a ANPD a determinar às instituições o cumprimento de obrigações que foram dispensadas ou flexibilizadas pela regulamentação. Neste caso, a agência deverá considerar as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
