Publicada a 2ª Resolução da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), que dispensa e flexibiliza obrigações da LGPD a agentes de tratamento de pequeno porte.
16893
post-template-default,single,single-post,postid-16893,single-format-standard,bridge-core-1.0.5,ajax_fade,page_not_loaded,,qode-theme-ver-18.1,qode-theme-bridge,qode_header_in_grid,wpb-js-composer js-comp-ver-6.0.2,vc_responsive
 

Publicada a 2ª Resolução da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), que dispensa e flexibiliza obrigações da LGPD a agentes de tratamento de pequeno porte.

No último dia 28 de janeiro, foi publicada a Resolução CD/ANPD nº 2/2022, da lavra do Conselho Diretor da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão regulador criado para fiscalizar o cumprimento da Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018), pela qual restou aprovado Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, ou seja, microempresas e empresas de pequeno porte, na forma do art. 3º da Lei Complementar nº 123/2006, que realizam operações com dados pessoais, assim como o microempreendedor individual, as sociedades limitadas unipessoais (antigas Empresas Individuais de Responsabilidade Limitadas – EIRELI), e, também, pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente, além de pessoas naturais e entes privados despersonalizados que operam dados pessoais com fins econômicos.

A Resolução também contempla startupsorganizações empresariais que correspondam aos critérios da Lei Complementar nº 182/2021 e as chamadas ‘zonas acessíveis ao público’, espaços abertos ao público como centros comerciais, aeroportos e bibliotecas públicas. Com esse âmbito de abrangência, a Resolução busca conferir tratamento jurídico diferenciado quanto à aplicação de determinadas exigências da LGPD, ora dispensando, ora flexibilizando deveres e obrigações, respeitados alguns critérios e observadas certas condições, cujos destaques se seguem:

  1. A dispensa ou flexibilização visada pela Resolução não se aplica aos agentes de tratamento de pequeno porte e demais destinatários que promovem tratamento de dados considerados de alto risco, assim definida a(s) operação(ões) que atendem, cumulativamente, pelo menos um critério geral (ex. tratamento de dados pessoais em larga escala) e um critério específico (ex. uso de tecnologias emergentes ou inovadoras);
  2. A Resolução expressamente não dispensa a estrita observância das bases legais (ex. consentimento informado do titular) e princípios (ex. finalidade, adequação, necessidade, segurança) que autorizam e legitimam, respectivamente, o tratamento de dados pessoais, conforme os imperativos da LGPD abrigados, sobretudo, nos seus artigos 2º, 6º, 7º, 9º e 11 do referido diploma legal, de modo que essas regras e preceitos precisam estar presentes em todo e qualquer tratamento de dados pessoais.

A Resolução, ainda, no seu artigo 11, desobriga os agentes de tratamento de pequeno porte da indicação de encarregado de dados pessoais (o conhecido DPO – Data Protection Officer), qualificando como praticante de política de boas práticas e governança àquele agente de tratamento que o indicar voluntariamente;  e, no seu artigo 14, defere prazo em dobro para cumprimento de obrigações previstas na LGPD, notadamente aqueles para atendimento de solicitações do titular dos dados pessoais; comunicação à ANPD acerca de incidentes de segurança de dados (vazamentos), bem como para envio de documentos, informações e relatórios requeridos pela entidade reguladora.

Um último destaque importante da Resolução se encontra e seu último dispositivo, o artigo 16, pelo qual a ANPD, diante de circunstâncias relevantes, tais como natureza e volume das operações, e riscos vislumbrados para os titulares de dados pessoais, pode, à luz do caso concreto, retirar a dispensa e a flexibilização conferida pelo próprio normativo. Portanto, mesmo com a diferenciação dada pela Resolução nº 2/2002 aos agentes de tratamento de pequeno porte, considerando que as sanções previstas na LGPD já estão em vigor desde 1º de agosto de 2021, mostra-se recomendável a revisão dos protocolos de tratamento de dados pessoais para melhor aplicação de métodos que visem à maior segurança na privacidade desses ativos.

Escrito por:


Ricardo Calderaro Rocha
Caio de Azevedo Trindade

No Comments

Post A Comment