Com base nas competências previstas no artigo 55-J, XVIII da Lei Geral de Proteção de Dados Pessoais (LGPD), a ANPD regulamentou a aplicação da Lei com o objetivo de facilitar a adaptação dos agentes de tratamento de pequeno porte às exigências de adequação à LGPD, bem como garantir a proteção dos direitos fundamentais da privacidade, intimidade e liberdade do titular.
Com o novo regulamento o agente de pequeno porte poderá:
- cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada. A ANPD fornecerá o modelo para o registro simplificado, conhecido como inventário de dados ou mapeamento;
- adotar procedimento simplificado de comunicação de incidente de segurança;
- não indicar o Encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais exigido no art. 41 da LGPD, mas deverá disponibilizar um canal de comunicação para requisições do titular de dados. Contudo, eventual nomeação de Encarregado será considerada política de boas práticas e governança;
- estabelecer política simplificada de segurança da informação; e
- ter o prazo em dobro para atender algumas das exigências da LGPD.
São considerados agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Contudo, ainda que se trate de um agente de tratamento de pequeno porte, o regulamento estabelece que não poderão se beneficiar do tratamento jurídico diferenciado aqueles que:
- realizam tratamento de alto risco para os titulares;
- aufiram receita bruta superior a R$ 4.800.000,00 no ano-calendário ou, no caso de startups, superior a R$ 16.000.000,00 no ano calendário ou a R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando sua atividade for inferior a 12 meses; ou
- pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso (ii), conforme o caso.
O regulamento considera tratamento de dados pessoais de alto risco aquele que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
1. critérios gerais:
- tratamento de dados pessoais em larga escala; ou
- tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
2. critérios específicos:
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de zonas acessíveis ao público;
- decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
- utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Para acesso à resolução completa, clique no link abaixo: