Entre em contato

Sua pequena empresa pode ser beneficiada pelas flexibilizações na LGPD.

Você sabia que a LGPD foi flexibilizada para os agentes de tratamento de pequeno porte e que dentre eles estão as pequenas empresas? Então saiba que várias empresas podem se beneficiar com essas flexibilizações e passar por um programa de adequação à LGPD mais simplificado.

Primeiro é importante entender os sujeitos presentes na Lei Geral de Proteção de Dados (LGPD), que são os agentes de tratamento: o controlador e o operador.

1. Quem são os agentes de tratamento na Lei Geral de Proteção de Dados (LGPD)?

O controlador é a pessoa responsável por decidir sobre o tratamento de dados, ou seja, é quem vai tomar as decisões sobre os pontos principais do tratamento de dados, tais como: a finalidade do tratamento, os dados que serão tratados, o período do tratamento, entre outros.

Já o operador é a pessoa responsável por realizar o tratamento de dados a mando do controlador. Nesse caso o agente de tratamento não tem poder de decisão significativo, mas somente em relação a melhor técnica a ser utilizada no tratamento de dados de acordo com as determinações do controlador.

Visto isso, agora podemos passar para a parte importante, que é saber quem poderá se beneficiar com as flexibilizações da lei.

2. Quem são os agentes de tratamento de pequeno porte que vão ser beneficiados?

Os agentes de tratamento de pequeno porte são microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive as sem fins lucrativos, pessoas naturais e entes privados despersonalizados.

Entretanto, nem todos os agentes de tratamento de pequeno porte poderão ser beneficiados com as flexibilizações da Lei Geral de Proteção de Dados (LGPD).

3. Quais são os agentes de tratamento de pequeno porte que não vão ser beneficiados?

Os agentes de tratamento de pequeno porte que não irão se beneficiar das flexibilizações da Lei Geral de Proteção de Dados (LGPD) são aqueles que:

  • Realizam tratamento de alto risco para os titulares de dados;
  • Tenham receita bruta superior a R$ 4.8 milhões por ano, em caso de micro e pequenas empresas;
  • Tenham receita bruta superior a R$ 16 milhões por ano, em caso de startups;
  • Façam parte de grupo econômico que tenham receita bruta superior aos limites acima.

Mas afinal de contas, o que seria tratamento de dados de alto risco?

4. O que é tratamento de dado de alto risco?

Para saber se o tratamento de dados é de alto risco, é necessário analisar dois critérios: gerais e específicos. Se o tratamento de dados do agente de tratamento se enquadrar em pelo menos uma hipótese de cada um dos critérios cumulativamente, ele será considerado de alto risco. E quais seriam essas hipóteses?

4.1. Critérios gerais:

O primeiro critério geral é o tratamento de dados pessoais em larga escala, isso é, aquele tratamento de dados que alcance um número significativo de titulares de dados, considerando o volume de dados tratados, a duração, a frequência e a extensão geográfica do tratamento dedados.

O segundo critério geral é o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, ou seja, é aquele tratamento que possa impedir o exercício de direitos ou a utilização de um serviço pelos titulares de dados, ou que possam causar danos materiais ou morais aos titulares de dados, como, por exemplo, discriminação, violação à integridade física, ao direito de imagem e à reputação, fraudes financeiras ou roubo de identidade.

4.2. Critérios específicos:

Os critérios específicos por sua vez são: i) uso de tecnologias emergentes ou inovadoras; ii) vigilância ou controle de zonas acessíveis ao público; iii) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou iv) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Dessa forma, se o agente de tratamento de pequeno porte se enquadrar em um critério geral e um critério específico cumulativamente, não poderá se beneficiar das flexibilizações pois há caracterização de tratamento de dados de alto risco.

5. Quais foram as flexibilizações da Lei Geral de Proteção de Dados (LGPD)?

As empresas que conseguirem se enquadrar como agentes de tratamento de pequeno porte, serão beneficiadas com algumas flexibilizações ou aplicações simplificadas da Lei Geral de Proteção de Dados (LGPD).

As flexibilizações são:

  • Simplificação do registro das operações de tratamento de dados pessoais;
  • Simplificação do procedimento de comunicação de incidente de segurança;
  • Desobrigação de indicação de encarregado de dados;
  • Adoção de requisitos mínimos de segurança da informação;
  • Simplificação da política de segurança da informação;
  • Prazos diferenciados.

5.1. Simplificação do registro das operações de tratamento de dados pessoais

Foi possibilitado que os agentes de tratamento de pequeno porte cumprissem de forma simplificada a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais.

Essa forma simplificada de registro das operações de tratamento de dados ainda será objeto de análise pela Autoridade Nacional de Proteção de Dados (ANPD) para elaboração de modelo.

5.2. Simplificação do procedimento de comunicação de incidente de segurança

A Autoridade Nacional de Proteção de Dados (ANPD) irá estabelecer flexibilizações ou procedimentos simplificados para os agentes de tratamento de pequeno porte fazerem as comunicações de incidente de segurança;

5.3. Desobrigação de indicação de encarregado de dados

Os agentes de tratamento de pequeno porte estão desobrigados a indicar o encarregado de dados.

Entretanto, o agente de tratamento de pequeno porte que não indicar o encarregado de dados deverá manter um canal de comunicação com o titular de dados para que este exerça os seus direitos.

5.4. Adoção de requisitos mínimos de segurança da informação

Os agentes de tratamento de pequeno porte deverão cumprir requisitos mínimos de segurança da informação para proteção dos dados pessoais, levando em consideração o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento de dados.

Esses requisitos mínimos de segurança da informação serão aplicados por meio de medidas administrativas e técnicas para esse fim.

5.5. Simplificação da política de segurança da informação

Os agentes de tratamento de pequeno porte poderão fazer política de segurança da informação de forma simplificada, levando em consideração os custos da implementação, a estrutura, a escala e o volume de dados tratados.

Essa política deve conter requisitos essenciais e necessários para proteger o banco de dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

5.6. Prazos diferenciados

O agente de tratamento de pequeno porte será beneficiado com a utilização de prazo em dobro para:

  • Atender as solicitações dos titulares de dados;
  • Comunicar os incidentes de segurança à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados, salvo nos casos de incidente de segurança que possam comprometer a integridade física ou moral dos titulares ou a segurança nacional;
  • Fornecer a declaração clara e completa aos titulares de dados;
  • Apresentar informações, documentos, relatórios e registros solicitados pela Autoridade Nacional de Proteção de Dados (ANPD).

Em relação ao fornecimento de declaração simplificada aos titulares de dados, o prazo para cumprimento pelos agentes de tratamento de pequeno porte será de 15 (quinze) dias.

6. Conclusão

Agora você já sabe quem são os agentes de tratamento de pequeno porte, sendo eles as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive as sem fins lucrativos, pessoas naturais e entes privados despersonalizados.

Entretanto, esses agentes não irão se beneficiar das flexibilizações da Lei Geral de Proteção de Dados (LGPD) se:

  • Realizam tratamento de alto risco para os titulares de dados;
  • Tenham receita bruta superior a R$ 4.8 milhões por ano, em caso de micro e pequenas empresas;
  • Tenham receita bruta superior a R$ 16 milhões por ano, em caso de startups;
  • Façam parte de grupo econômico que tenham receita bruta superior aos limites acima.

Os benefícios que serão aplicados aos agentes de tratamento de pequeno porte são algumas flexibilizações da Lei Geral de Proteção de Dados (LGPD), tais como:

  • Simplificação do registro das operações de tratamento de dados pessoais;
  • Simplificação do procedimento de comunicação de incidente de segurança;
  • Desobrigação de indicação de encarregado de dados;
  • Adoção de requisitos mínimos de segurança da informação;
  • Simplificação da política de segurança da informação;
  • Prazos diferenciados.

Larissa Soella Gallon