No último dia 28 de janeiro de 2022, foi publicada a Resolução Nº 2 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), que aprovou o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte, incluindo startups.
O novo regulamento estabelece conceitos, leva em consideração o porte econômico e o risco associado às atividades desenvolvidas pelos agentes.
Além disso, o instrumento regulatório tem por objetivo trazer proteção aos direitos dos titulares sem esquecer da necessidade de crescimento econômico e expansão do ecossistema de inovação no Brasil.

Para quais organizações o Regulamento se aplica?

O Regulamento se aplica aos seguintes agentes de tratamento de pequeno porte:
1) ao Micro Empreendedor Individual (MEI), com faturamento anual de até 81 mil;
2) à Microempresa, até 360 mil;
3) à Empresa de Pequeno Porte, até 4,8 milhões;
4) à Startup, até 16 milhões, com até dez anos de CNPJ e que utilize modelo de negócio inovador para geração de produtos/serviços; e
5) aos Locais Públicos, tais como praças, vias públicas, estações, portos (zonas acessíveis ao público).

Quem não se beneficia do Regulamento da ANPD?

Não poderão se beneficiar do tratamento diferenciado previsto no Regulamento os agentes de tratamento:
1) cuja receita bruta não permita classificá-los como microempresa, empresa de pequeno porte ou startup;
2) que pertençam a grupo econômico com receita global superior aos limites previstos na Lei complementar n° 123/2006 ou na Lei complementar n° 182/2011; e
3) que realizam tratamento de alto risco para os titulares, assim compreendidos entre aqueles que cumularem pelo menos um critério geral (art. 4°, I) e um critério específico (art. 4°, II), estabelecidos no Regulamento.

Tais critérios demandam cuidadosa análise para o devido enquadramento, visto que as classificações podem não ser tão objetivas, como, por exemplo, situações que impeçam exercício de direitos, que possam causar dano, discriminação, entre outras.

Principais pontos de flexibilização e dispensa

Dentre as medidas de flexibilização estabelecidas pelo Regulamento, destacamos a elaboração do Registro de Operações (ROPA) de forma simplificada, a partir de modelo a ser fornecido pela Autoridade Nacional; a comunicação dos incidentes de segurança de forma simplificada e com prazo em dobro, mediante regulamentação específica a ser expedida pela ANPD; uma política de segurança da informação também simplificada, como forma de boa prática; o atendimento aos direitos dos titulares com  prazo em dobro e, ainda, a relativização mais aguardado pelas empresas: a nomeação do Encarregado, que deixa de ser obrigatória, configurando a nomeação, contudo, boa prática de governança.

Dispensa do Encarregado pelo Tratamento de Dados Pessoais 

Os agentes de tratamento de pequeno porte não têm a obrigação de indicar o encarregado pelo tratamento de dados pessoais, também conhecido como Data Protection Officer – DPO, exigido no art. 41 da LGPD.
No entanto, devem disponibilizar um canal de comunicação para atender aos direitos dos titulares, nos termos do art. 41, § 2º, I da LGPD. Não obstante, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança pela ANPD.

Forma de solução de conflitos

O Regulamento faculta aos agentes de tratamento de pequeno porte, incluído os que realizam tratamento de alto risco, a criação de entidades de representação da atividade empresarial para fins de resolução das reclamações apresentadas pelos titulares de dados.

A dispensa ou flexibilização não reduzem a responsabilidade de proteger e tratar o dado

Um dos pontos centrais do novo regulamento é que a dispensa ou flexibilização das obrigações dispostas não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares, conforme previsto no art. 6º do referido Regulamento.
Portanto, os agentes de tratamento de pequeno porte ainda devem adotar medidas administrativas e técnicas, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais. Ademais, também devem levar em consideração o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

SOBRE AS AUTORAS:
Dra. Cristiane Souza é Advogada de Privacidade e Proteção de Dados. Graduada em Direito pela FDSM – Faculdade de Direito do Sul de Minas e pós-graduada em Direito Público. Possui capacitação em Data Protection Officer (DPO), pela ESA/RJ.

Dra. Mariana Moscoso é Advogada e especialista em Privacidade e Proteção de Dados. Possui Curso de Compliance em Proteção de Dados, pela Legal Ethics Compliance, e extensão em Aspectos Jurídicos da Herança Digital, pela CCE PUC/RJ. Possui formação em Publicidade e Propaganda e especialização em Gestão Empresarial e Marketing pela ESPM/RJ.

Por