[co-authored by Julio Cesar de Oliveira Alves and Felipe Lacerda]
No dia 27 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução n.º 2, regulamentando a aplicação de determinados dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD) a agentes de tratamento de pequeno porte, incluindo, dentre outros, a dispensa da obrigação de indicar um DPO e procedimentos simplificados para o cumprimento de obrigações previstas na LGPD quanto à preparação de ROPAs e comunicação de incidentes de segurança.
Beneficiários da Resolução
Essa Resolução se aplica a microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais. Não poderão se beneficiar do tratamento jurídico diferenciado previsto na Resolução (exceto pelas disposições relativas a Negociação, Mediação e Conciliação detalhadas abaixo) os agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares (é considerado de alto risco o tratamento de dados pessoais em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares).
Benefícios
Os agentes de tratamento de pequeno porte:
- Podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais (ROPAs) de forma simplificada.
- Seguirão um procedimento simplificado de comunicação de incidente de segurança.
- Não são obrigados a indicar o encarregado pelo tratamento de dados pessoais (DPO).
- Podem estabelecer política simplificada de segurança da informação.
- Podem fornecer a declaração simplificada confirmando a existência ou o acesso a dados pessoais do titular no prazo de até quinze dias, contados da data do requerimento do titular.
- Terão prazo em dobro para:
- Atender solicitações dos titulares de dados pessoais;
- Comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional;
- Fornecer declaração clara e completa sobre o tratamento de dados pessoais;
- Apresentar informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.
Poderão se organizar por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados (Negociação, Mediação e Conciliação)
A adoção das medidas de adequação à LGPD, bem como a implementação de políticas de segurança e privacidade, mesmo que simplificadas, serão positivamente consideradas entre os parâmetros e critérios de aplicação de sanções administrativas pela ANPD.
A dispensa ou flexibilização das obrigações dispostas na Resolução não isentará os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Próximos passos
Nossa equipe de Privacy and Cybersecurity está à disposição para auxiliar nossos clientes com a elaboração e implementação de medidas de conformidade por meio das melhores práticas para a segurança da informação.
[View source.]